乐趣区

关于java:团灭Log4j-1x-也爆雷了速速弃用

最近炒得满城风雨的 Log4j2 破绽门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新破绽动静:

Log4j 2.3.1 公布!又是什么鬼??

在 Log4j2 破绽产生的同时,Logback 也未能幸免:

Logback 也爆雷了,惊爆了。。。

Java 技术栈群里有小伙伴探讨 Log4j 1.x 应该没破绽:

栈长之前说过,Log4j 1.x 和 Logback 是能躲避这个核弹级破绽,很多小伙伴可能还在暗暗窃喜,没错,但也有错,Log4j 1.x 是早曾经被淘汰的我的项目了,就算能躲避这个破绽,但早曾经不倡议用了。

如 Log4j 1.x 官网所示:

Log4j 1.x 在 2015 年就进行保护了,曾经进行更新 7 年了。。

最新版本:Log4j 1.2.17,公布工夫:2012-05-13

Log4j 1.x 算是最早一代的老古董日志框架了,也就是传说中的老牌日志框架 “Log4j“,已经无处不在,当初很少用到了,除非在一些老零碎中,所以关注度也很少了。

关注度少,不代表就能居安思危,Log4j 1.x 在 2019 年就爆了一次雷,在 Log4j 1.x 中发现了一个已知的安全漏洞 CVE-2019-17571:

这是一个反序列化导致的近程代码执行破绽,破绽具体可参考:

https://www.cvedetails.com/cv…

因为官网不再保护 Log4j 1.x,因而也不会修复此破绽。另外,Log4j 1.x 还存在什么破绽,因为长期没有保护和检测,目前也是未知的。

所以, 还在用 Log4j 1.x 的同志们连忙降级到 Log4j 2.x 或者换 Logback 吧!!!

Logback 同样也是 Log4j 的作者开发的,是 SLF4J 日志门面的原生实现,领有更多丰盛的个性,当初也是 Log4j 1.x 的代替。

Log4j 2.x 是对 Log4j 1.x 的降级,失去了重大改良,并且吸引了 Logback 中的优良设计并加以优化,还修复了 Log4j 1.x 的破绽及许多问题,性能更是碾压 Log4j 1.x,举荐应用。

Log4j2 和 Logback 怎么选能够参考栈长之前分享的:

Apache Log4j 爆核弹级破绽,Spring Boot 默认日志框架就能完满躲过!!

所以,Log4j 1.x 也不能独善其身, 别再用一个曾经进行保护多年、还存在破绽的我的项目了……


这下好了,支流日志组件都有破绽,团灭!!

如果是内网零碎,以上能够思考忽视,但小心哪天上了公网,所以也请速速弃用。。

最初,如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。

版权申明!!!

本文系公众号 “Java 技术栈 ” 原创,转载、援用本文内容请注明出处, 剽窃、洗稿一律投诉侵权,后果自负 ,并保留追究其法律责任的权力。

近期热文举荐:

1.1,000+ 道 Java 面试题及答案整顿 (2021 最新版)

2. 劲爆!Java 协程要来了。。。

3. 玩大了!Log4j 2.x 再爆雷。。。

4.Spring Boot 2.6 正式公布,一大波新个性。。

5.《Java 开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞 + 转发哦!

退出移动版