提问参考模版:
- nebula 版本:2.0.0
- 部署方式:分布式
请确认nebula-java-client 开源组件 版本2.0.0和2.0.1是否受Log4j1.X版本的漏洞CVE-2022-23302,CVE-2022-23305,CVE-2022-23307影响?
nebula-java 2.0.0和2.0.1 引用的log4j是1.2.17, 该版本中存在的漏洞 都会影响nebula-java的。
- 有计划修复么?修复的版本和时间?
- nebula-java有使用 log4j 2.16.0 或2.17.0/1 的版本么?
- nebula-java有没有漏洞发布的地址?
- 待最新slf4j 引用新的log4j后会引用新版本的 slf4j
- 目前nebula-java没有发布漏洞的地址
目前业务端使用可以在引入nebula-java的client之后将 slf4j 依赖排除掉,根据需求重新引入新的log4j包。
好的,谢谢