java - 从 spring-security-saml2-core 中排除 slf4j-api，我们得到一个运行时异常 NoClassDefFound: org/slf4j/LoggerFactory

Question

在 log4j 零日漏洞之后，我们开始查看是否有更多使用 slf4J 或更低版本的 log4j 的工件。

检查 mvn 依赖树，我们发现 spring-security-saml2-core 正在使用 slf4j，我们试图从工件中排除它。但是，我们收到以下运行时异常： -java.lang.NoClassDefFoundError: org/slf4j/LoggerFactory at org.opensaml.DefaultBootstrap.getLogger(DefaultBootstrap.java:246) at org.opensaml.DefaultBootstrap.initializeXMLSecurity(DefaultBootstrap.java:第189章）

score 2 · Accepted Answer

如果您指的是 CVE-2021-44228 漏洞（又名 Log4Shell），那么 Slf4J 不是易受攻击的库，因此您不必排除它。对于 2 到 2.15.0 之前的版本，只有 Log4j-core 受此特定漏洞的影响，请参阅https://nvd.nist.gov/vuln/detail/CVE-2021-44228

正如@eray-tufay 指出的那样，目前还有其他已知的漏洞（许多可能仍在等待被发现）。他给出的例子是https://cve.report/CVE-2021-4104：

请注意，此问题仅在专门配置为使用 JMSAppender（不是默认设置）时影响 Log4j 1.2

因此，要防止当前和未来的漏洞：

在您的构建管道中包含针对新漏洞的自动检查，例如https://owasp.org/www-project-dependency-check/
不断升级您的依赖项以使用最新版本

java - 从 spring-security-saml2-core 中排除 slf4j-api，我们得到一个运行时异常 NoClassDefFound: org/slf4j/LoggerFactory

1 回答 1

Related

Reference