团灭!Log4j 1.x 也爆雷了。。。速速弃用!!

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了团灭!Log4j 1.x 也爆雷了。。。速速弃用!!相关的知识,希望对你有一定的参考价值。

点击关注公众号,Java干货及时送达

最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:

Log4j 2.3.1 发布!又是什么鬼??

在 Log4j2 漏洞发生的同时,Logback 也未能幸免:

Logback 也爆雷了,惊爆了。。。

Java技术栈群里有小伙伴讨论 Log4j 1.x 应该没漏洞:

栈长之前说过,Log4j 1.x 和 Logback 是能规避这个核弹级漏洞,很多小伙伴可能还在暗暗窃喜,没错,但也有错,Log4j 1.x 是早已经被淘汰的项目了,就算能规避这个漏洞,但早已经不建议用了。

如 Log4j 1.x 官网所示:

Log4j 1.x 在 2015 年就停止维护了,已经停止更新 7 年了。。

最新版本:Log4j 1.2.17,发布时间:2012-05-13

Log4j 1.x 算是最早一代的老古董日志框架了,也就是传说中的老牌日志框架 "Log4j",曾经无处不在,现在很少用到了,除非在一些老系统中,所以关注度也很少了。

关注度少,不代表就能高枕无忧,Log4j 1.x 在 2019 年就爆了一次雷,在 Log4j 1.x 中发现了一个已知的安全漏洞 CVE-2019-17571:

这是一个反序列化导致的远程代码执行漏洞,漏洞详细可参考:

https://www.cvedetails.com/cve/CVE-2019-17571/

由于官方不再维护 Log4j 1.x,因此也不会修复此漏洞。另外,Log4j 1.x 还存在什么漏洞,因为长期没有维护和检测,目前也是未知的。

所以,还在用 Log4j 1.x 的同志们赶紧升级到 Log4j 2.x 或者换 Logback 吧!!!

Logback 同样也是 Log4j 的作者开发的,是 SLF4J 日志门面的原生实现,拥有更多丰富的特性,当初也是 Log4j 1.x 的替代。

Log4j 2.x 是对 Log4j 1.x 的升级,得到了重大改进,并且吸引了 Logback 中的优秀设计并加以优化,还修复了 Log4j 1.x 的漏洞及许多问题,性能更是碾压 Log4j 1.x,推荐使用。

Log4j2 和 Logback 怎么选可以参考栈长之前分享的:

Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过!!

所以,Log4j 1.x 也不能独善其身,别再用一个已经停止维护多年、还存在漏洞的项目了……


这下好了,主流日志组件都有漏洞,团灭!!

如果是内网系统,以上可以考虑无视,但小心哪天上了公网,所以也请速速弃用。。

最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。

版权声明!!!

本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。

微信官宣:一大波新年红包封面来了!

23 种设计模式实战(很全)

Log4j 2.3.1 发布!又是什么鬼??

Logback 也爆雷了,惊爆了。。。

劲爆!Java 协程要来了。。。

面试官:Java 8 map 和 flatMap 的区别?

重磅官宣:Redis 对象映射框架来了!!

推荐一款代码神器,代码量至少省一半!

程序员精通各种技术体系,45岁求职难!

重磅!Spring Boot 2.6 正式发布

Spring Boot 学习笔记,这个太全了!

关注Java技术栈看更多干货

获取 Spring Boot 实战笔记!

以上是关于团灭!Log4j 1.x 也爆雷了。。。速速弃用!!的主要内容,如果未能解决你的问题,请参考以下文章

炸了..Log4j2 再爆漏洞,v2.17.1 横空出世。。。

Logback 也爆雷了,惊爆了。。。

Logback 也爆雷了,惊爆了。。。

也爆雷了。。。

也爆雷了。。。

麻了,Logback也爆雷了。。。