Log4j Sicherheitslücke

bene2808

Aktives Mitglied
Moin Leute,

ich habe mich vor Kurzem gefragt, ob eine kleine Anwendung, die ich für einen Kumpel entwickelt habe, von Log4Shell betroffen sein könnte. Nach meiner Recherche halte ich es für seeehr unwahrhscheinlich, bin mir aber trotzdem nicht ganz sicher; deswegen frage ich hier.
Direkt verwende ich Log4j nicht, sondern java.util.logging; sollte also kein Problem sein, richtig? In den maven Dependencies habe ich org.apache.pdfbox in 2.0.23 und junit in 4.13.2. Ersteres hängt von fontbox ab, das von commons-logging und das anscheinend von log4j. Allerdings steht in der pom von commons-logging nur log4j, nicht log4j-core. Wird da dann log4j-core doch irgendwie benutzt? Außerdem ist das ja eine optionale Dependency. Nutzt pdfbox am Ende log4j überhaupt? Wie kann ich das herausfinden? Auf maven central werden ja auch Vulnerabilities angezeigt. Bei pdfbox 2.0.23 scheint aber keine Vulnerability im Zusammenhang mit Log4Shell zu stehen. Heißt das, ich bin safe? Außerdem ist die Sicherheitslücke ja anscheinend nur vorhanden, wenn das Projekt speziell konfiguriert wurde. Ich habe da nichts konfiguriert. Bin ich dann safer?

Sorry für so viele Fragen. Hoffe, ihr könnt da Licht ins Dunkel für mich bringen! 😁
 

Oneixee5

Top Contributor
org.apache.pdfbox in Version 2.0.23 steht auf rot in https://mvnrepository.com/artifact/org.apache.pdfbox/pdfbox.
Ganz unabhängig von Log4Shell sollte man immer mal wieder überprüfen ob es neue Sicherheitslücken in einer Bibliothek gibt: https://jeremylong.github.io/DependencyCheck/dependency-check-maven/
Auf die Was-Wäre-Wenn-Spielchen würde ich mich gar nicht einlassen, bau ein Update und fertig. Zumal du ja keinen Einfluss darauf hast wie das Logging wirklich konfiguriert wird, wenn du die Anwendung einmal weitergegeben hast.
 

LimDul

Top Contributor
 

Oneixee5

Top Contributor
Interessant, kann man das einbauen sodass es beim build jedesmal prüft und den build abbricht wenn was nicht iO ist? Check ich nicht so ganz wie das funktioniert
Ja das geht, es wäre sogar möglich automatisch zu einer neueren Version zu wechseln. Erwarte aber bitte keine detaillierte Anleitung. Maven ist ganz furchtbar und ich wurstel mich da immer so durch. Mit Hilfe von Blogs usw.
 

Ähnliche Java Themen

Neue Themen


Oben