Hibernate项目不受CVE-2021-45046和CVE-2021-44228背后漏洞的影响:Hibernate项目没有项目运行时依赖Log4j核心库。
我们使用JBoss Logging,它提供了一个连接到您选择的日志后端的最小API,并且不包含依赖于JNDI查找的复杂特性。
我们确实在Hibernate库的开发过程中使用了Log4j,因为它是我们的测试套件依赖项;因此,我们已经升级了所有分支。
如果您依赖于Hibernate库,则测试依赖项将不会包含在您的应用程序中。
每个项目的升级版本如下:
-
Hibernate ORM:
5.3.25.Final,5.4.33.Final,5.5.9.Final,5.6.3.Final -
Hibernate Reactive:
1.1.2.Final,1.0.2.Final -
Hibernate Validator:
6.2.1.Final,7.0.2.Final -
Hibernate Search:
6.0.8.Final
在不太可能的情况下,如果某些项目确实依赖于我们的测试套件,那么您应该进行升级。
Hibernate团队
