最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:
Log4j 2.3.1 发布!又是什么鬼??在 Log4j2 漏洞发生的同时,Logback 也未能幸免:
Logback 也爆雷了,惊爆了。。。Java技术栈群里有小伙伴讨论 Log4j 1.x 应该没漏洞:
文章图片
栈长之前说过,Log4j 1.x 和 Logback 是能规避这个核弹级漏洞,很多小伙伴可能还在暗暗窃喜,没错,但也有错,Log4j 1.x 是早已经被淘汰的项目了,就算能规避这个漏洞,但早已经不建议用了。
如 Log4j 1.x 官网所示:
文章图片
Log4j 1.x 在 2015 年就停止维护了,已经停止更新 7 年了。。
最新版本:Log4j 1.2.17,发布时间:2012-05-13Log4j 1.x 算是最早一代的老古董日志框架了,也就是传说中的老牌日志框架 "Log4j",曾经无处不在,现在很少用到了,除非在一些老系统中,所以关注度也很少了。
关注度少,不代表就能高枕无忧,Log4j 1.x 在 2019 年就爆了一次雷,在 Log4j 1.x 中发现了一个已知的安全漏洞 CVE-2019-17571:
文章图片
【团灭!Log4j 1.x 也爆雷了。。。速速弃用!!】这是一个反序列化导致的远程代码执行漏洞,漏洞详细可参考:
https://www.cvedetails.com/cv...由于官方不再维护 Log4j 1.x,因此也不会修复此漏洞。另外,Log4j 1.x 还存在什么漏洞,因为长期没有维护和检测,目前也是未知的。
所以,还在用 Log4j 1.x 的同志们赶紧升级到 Log4j 2.x 或者换 Logback 吧!!!
Logback 同样也是 Log4j 的作者开发的,是 SLF4J 日志门面的原生实现,拥有更多丰富的特性,当初也是 Log4j 1.x 的替代。Log4j2 和 Logback 怎么选可以参考栈长之前分享的:
Log4j 2.x 是对 Log4j 1.x 的升级,得到了重大改进,并且吸引了 Logback 中的优秀设计并加以优化,还修复了 Log4j 1.x 的漏洞及许多问题,性能更是碾压 Log4j 1.x,推荐使用。
Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过!!所以,Log4j 1.x 也不能独善其身,别再用一个已经停止维护多年、还存在漏洞的项目了……
这下好了,主流日志组件都有漏洞,团灭!!
如果是内网系统,以上可以考虑无视,但小心哪天上了公网,所以也请速速弃用。。
最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。
版权声明!!!近期热文推荐:
本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。
1.1,000+ 道 Java面试题及答案整理(2021最新版)
2.劲爆!Java 协程要来了。。。
3.玩大了!Log4j 2.x 再爆雷。。。
4.Spring Boot 2.6 正式发布,一大波新特性。。
5.《Java开发手册(嵩山版)》最新发布,速速下载!
觉得不错,别忘了随手点赞+转发哦!
推荐阅读
- Java|Java基础——数组
- 人工智能|干货!人体姿态估计与运动预测
- java简介|Java是什么(Java能用来干什么?)
- Java|规范的打印日志
- Linux|109 个实用 shell 脚本
- 程序员|【高级Java架构师系统学习】毕业一年萌新的Java大厂面经,最新整理
- Spring注解驱动第十讲--@Autowired使用
- SqlServer|sql server的UPDLOCK、HOLDLOCK试验
- jvm|【JVM】JVM08(java内存模型解析[JMM])
- 技术|为参加2021年蓝桥杯Java软件开发大学B组细心整理常见基础知识、搜索和常用算法解析例题(持续更新...)