Moin Leute,
ich habe mich vor Kurzem gefragt, ob eine kleine Anwendung, die ich für einen Kumpel entwickelt habe, von Log4Shell betroffen sein könnte. Nach meiner Recherche halte ich es für seeehr unwahrhscheinlich, bin mir aber trotzdem nicht ganz sicher; deswegen frage ich hier.
Direkt verwende ich Log4j nicht, sondern java.util.logging; sollte also kein Problem sein, richtig? In den maven Dependencies habe ich org.apache.pdfbox in 2.0.23 und junit in 4.13.2. Ersteres hängt von fontbox ab, das von commons-logging und das anscheinend von log4j. Allerdings steht in der pom von commons-logging nur log4j, nicht log4j-core. Wird da dann log4j-core doch irgendwie benutzt? Außerdem ist das ja eine optionale Dependency. Nutzt pdfbox am Ende log4j überhaupt? Wie kann ich das herausfinden? Auf maven central werden ja auch Vulnerabilities angezeigt. Bei pdfbox 2.0.23 scheint aber keine Vulnerability im Zusammenhang mit Log4Shell zu stehen. Heißt das, ich bin safe? Außerdem ist die Sicherheitslücke ja anscheinend nur vorhanden, wenn das Projekt speziell konfiguriert wurde. Ich habe da nichts konfiguriert. Bin ich dann safer?
Sorry für so viele Fragen. Hoffe, ihr könnt da Licht ins Dunkel für mich bringen! 😁
ich habe mich vor Kurzem gefragt, ob eine kleine Anwendung, die ich für einen Kumpel entwickelt habe, von Log4Shell betroffen sein könnte. Nach meiner Recherche halte ich es für seeehr unwahrhscheinlich, bin mir aber trotzdem nicht ganz sicher; deswegen frage ich hier.
Direkt verwende ich Log4j nicht, sondern java.util.logging; sollte also kein Problem sein, richtig? In den maven Dependencies habe ich org.apache.pdfbox in 2.0.23 und junit in 4.13.2. Ersteres hängt von fontbox ab, das von commons-logging und das anscheinend von log4j. Allerdings steht in der pom von commons-logging nur log4j, nicht log4j-core. Wird da dann log4j-core doch irgendwie benutzt? Außerdem ist das ja eine optionale Dependency. Nutzt pdfbox am Ende log4j überhaupt? Wie kann ich das herausfinden? Auf maven central werden ja auch Vulnerabilities angezeigt. Bei pdfbox 2.0.23 scheint aber keine Vulnerability im Zusammenhang mit Log4Shell zu stehen. Heißt das, ich bin safe? Außerdem ist die Sicherheitslücke ja anscheinend nur vorhanden, wenn das Projekt speziell konfiguriert wurde. Ich habe da nichts konfiguriert. Bin ich dann safer?
Sorry für so viele Fragen. Hoffe, ihr könnt da Licht ins Dunkel für mich bringen! 😁