WildFly 是否受到 log4j 2 漏洞 CVE

Vse*_*nov 14

受影响的 log4j 版本是：

受影响的版本：所有 log4j-core 版本 >=2.0-beta9 和 <=2.14.1

WildFly 使用通过其log4j-jboss-logmanager模块着色的 log4j。即使是最新的 1.2.2.Final 版本也依赖于 log4j 1.2.17。

这意味着 WildFly <22 绝对不受影响。

还有一个log4j2-jboss-logmanager - 但只有 WildFly 22+ 有它。正如这个文档所解释的：

这将只是 log4j2 API 的实现。不支持 log4j2 的核心日志管理器。
不支持使用任何 .apache.logging.log4j:log4j-core API 或实现。换句话说，将不支持 log4j2 日志管理器实现，包括配置文件。

可以看到当前最新的 1.0.0.Final 版本根本不依赖 log4j-core，只依赖 log4j-api。

所以 WildFly 版本 >=22 也不受影响。

官方推文证实了这一点。

但是WFCORE-5743提高 log4j-core 版本呢？在 pom 中查看：

<!-- This is a test only dependency -->
<dependency>
    <groupId>.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>${version..apache.logging.log4j}</version>
    <scope>test</scope>
</dependency>

它不与 WildFly 捆绑在一起，仅在 WildFly 的构建中用于测试。