Vse*_*nov 14
受影响的 log4j 版本是:
受影响的版本:所有 log4j-core 版本 >=2.0-beta9 和 <=2.14.1
WildFly 使用通过其log4j-jboss-logmanager模块着色的 log4j。即使是最新的 1.2.2.Final 版本也依赖于 log4j 1.2.17。
这意味着 WildFly <22 绝对不受影响。
还有一个log4j2-jboss-logmanager - 但只有 WildFly 22+ 有它。正如这个文档所解释的:
这将只是 log4j2 API 的实现。不支持 log4j2 的核心日志管理器。
不支持使用任何 .apache.logging.log4j:log4j-core API 或实现。换句话说,将不支持 log4j2 日志管理器实现,包括配置文件。
可以看到当前最新的 1.0.0.Final 版本根本不依赖 log4j-core,只依赖 log4j-api。
所以 WildFly 版本 >=22 也不受影响。
官方推文证实了这一点。
但是WFCORE-5743提高 log4j-core 版本呢?在 pom 中查看:
<!-- This is a test only dependency -->
<dependency>
<groupId>.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${version..apache.logging.log4j}</version>
<scope>test</scope>
</dependency>
它不与 WildFly 捆绑在一起,仅在 WildFly 的构建中用于测试。
更多推荐
漏洞,WildFly,log4j,CVE
发布评论