我们听说log4j-core.jar易受攻击
我们注意到spring-cloud-starter-sleuth(版本2.2.2.RELEASE(依赖项带来了一个使用log4j-core.jar(版本2.13.0(和provided作用域的依赖项,如下所示:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${log4j.version}</version>
<scope>provided</scope>
</dependency>
带来log4j依赖关系的确切jar是:
<groupId>io.zipkin.brave</groupId>
<artifactId>brave-context-log4j2</artifactId>
<version>5.10.1</version>
我们在代码或配置中没有使用Zipkin,只是使用Sleuth
我们的代码易受攻击吗?
Spring Cloud Sleuth 2.x不再受支持,正如M.Deinum所提到的,由于provided作用域,Sleuth将不会为您带来这些依赖关系。您可以通过运行gradlew dependencies或mvn dependency:tree对此进行测试。