Maven命令mvn javadoc:jar下载log4j-1.2.12

问题描述 投票:0回答:1

执行Maven命令

mvn javadoc:jar
时,会下载log4j-1.2.12.jar,其中包含漏洞。范围内的项目对 log4j 没有任何依赖,我们也没有生成 JavaDocs 的插件。

我们的Maven版本是3.6.0。

关于如何继续摆脱 log4j 有什么建议吗?

maven log4j javadoc
1个回答
0
投票

解决项目或插件的 Maven 依赖关系:

  1. 创建一个包含所有依赖项和传递依赖项的巨大图。为此,必须递归下载每个文件的 POM 文件,
  2. 选择它将使用的依赖项。 Log4j 1.x 不属于其中,
  3. 在运行时使用这些依赖项。

在您的情况下,

log4j:log4j:1.2.12
进入第一阶段,但 JAR 下载并且使用。

备注:Log4j 1.x 的漏洞非常外围且难以触发。即使 if Log4j 1.x 在您的构建中使用,您也需要提供非常具体的配置(例如登录到数据库)才容易受到攻击。

maven-javadoc-plugin
中,有一些易受攻击的依赖项有更大的机会被使用,例如
doxia-site-renderer
的依赖关系。显然,如果没有进一步检查,就无法判断它们是否适用于插件。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.