最近炒得沸沸揚揚的 Log4j2 漏洞門事件,大家應該都修復完了吧,還沒修復的看堆疊長分享的 Log4j2 最新漏洞動態:
Log4j 2.3.1 發布!又是什么鬼??
在 Log4j2 漏洞發生的同時,Logback 也未能幸免:
Logback 也爆雷了,驚爆了,,,
Java技術堆疊群里有小伙伴討論 Log4j 1.x 應該沒漏洞:
堆疊長之前說過,Log4j 1.x 和 Logback 是能規避這個核彈級漏洞,很多小伙伴可能還在暗暗竊喜,沒錯,但也有錯,Log4j 1.x 是早已經被淘汰的專案了,就算能規避這個漏洞,但早已經不建議用了,
如 Log4j 1.x 官網所示:
Log4j 1.x 在 2015 年就停止維護了,已經停止更新 7 年了,,
最新版本:Log4j 1.2.17,發布時間:2012-05-13
Log4j 1.x 算是最早一代的老古董日志框架了,也就是傳說中的老牌日志框架 "Log4j",曾經無處不在,現在很少用到了,除非在一些老系統中,所以關注度也很少了,
關注度少,不代表就能高枕無憂,Log4j 1.x 在 2019 年就爆了一次雷,在 Log4j 1.x 中發現了一個已知的安全漏洞 CVE-2019-17571:
這是一個反序列化導致的遠程代碼執行漏洞,漏洞詳細可參考:
https://www.cvedetails.com/cve/CVE-2019-17571/
由于官方不再維護 Log4j 1.x,因此也不會修復此漏洞,另外,Log4j 1.x 還存在什么漏洞,因為長期沒有維護和檢測,目前也是未知的,
所以,還在用 Log4j 1.x 的同志們趕緊升級到 Log4j 2.x 或者換 Logback 吧!!!
Logback 同樣也是 Log4j 的作者開發的,是 SLF4J 日志門面的原生實作,擁有更多豐富的特性,當初也是 Log4j 1.x 的替代,
Log4j 2.x 是對 Log4j 1.x 的升級,得到了重大改進,并且吸引了 Logback 中的優秀設計并加以優化,還修復了 Log4j 1.x 的漏洞及許多問題,性能更是碾壓 Log4j 1.x,推薦使用,
Log4j2 和 Logback 怎么選可以參考堆疊長之前分享的:
Apache Log4j 爆核彈級漏洞,Spring Boot 默認日志框架就能完美躲過!!
所以,Log4j 1.x 也不能獨善其身,別再用一個已經停止維護多年、還存在漏洞的專案了……
這下好了,主流日志組件都有漏洞,團滅!!
如果是內網系統,以上可以考慮無視,但小心哪天上了公網,所以也請速速棄用,,
最后,如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公眾號Java技術堆疊,公眾號第一時間推送,
著作權宣告!!!
本文系公眾號 "Java技術堆疊" 原創,轉載、參考本文內容請注明出處,抄襲、洗稿一律投訴侵權,后果自負,并保留追究其法律責任的權利,
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2021最新版)
2.勁爆!Java 協程要來了,,,
3.玩大了!Log4j 2.x 再爆雷,,,
4.Spring Boot 2.6 正式發布,一大波新特性,,
5.《Java開發手冊(嵩山版)》最新發布,速速下載!
覺得不錯,別忘了隨手點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/397135.html
標籤:Java
上一篇:spring回圈依賴的產生與解決