最近大肆炒作的Log4j2漏洞事件,大家应该已经修复了,还没修复的话,看栈长分享的最新Log4j2漏洞消息:Log4j2.3.1发布!我勒个去??Log4j2漏洞出现的同时,Logback也未能幸免:Logback也炸了,它炸了。..Java技术栈群里有小伙伴讨论Log4j1.x应该没有漏洞:栈长之前说Log4j1.x和Logback可以避免这个核弹级的漏洞,很多小伙伴可能还在偷偷开心,是的,但也有错误。Log4j1.x是一个已经淘汰的项目。即使可以避免这个漏洞,也不推荐使用。如Log4j1.x官网所示:Log4j1.x于2015年停止维护,至今已有7年停止更新。.最新版本:Log4j1.2.17,发布时间:2012-05-13Log4j1.x是最早一代的老式日志框架,也就是传说中的老日志框架“Log4j”,曾经无处不在,但是现在很少用了,除了一些老系统,所以很少有人关注。较少的关注并不意味着您可以高枕无忧。Log4j1.x在2019年爆发过一次,在Log4j1.x中发现了一个已知的安全漏洞CVE-2019-17571:这是一个反序列化导致的远程代码执行漏洞,漏洞可以参考:https://www.cvedetails.com/cv...由于Log4j1.x官方不再维护,该漏洞将不再修复。另外,Log4j1.x还存在一些漏洞,因为长期没有维护和测试,目前未知。所以,还在使用Log4j1.x的同志们赶紧升级到Log4j2.x或者换成Logback吧!!!Logback也是由Log4j的作者开发的。它是SLF4J日志外观的本机实现。它具有更多功能,最初是Log4j1.x的替代品。Log4j2.x是Log4j1.x的升级版,有了很大的改进,并且吸取了Logback中优秀的设计,对其进行了优化。还修复了Log4j1.x的漏洞和诸多问题,性能更是碾压Log4j1..x推荐。Log4j2和Logback如何选择可以参考之前栈长分享的:ApacheLog4j存在核弹级漏洞,SpringBoot默认的日志框架可以完美躲过!!所以,Log4j1.x不能独善其身,不要用一个多年没维护,还有漏洞的项目……现在,主流的日志组件都有漏洞,团灭!!如果是内网系统,可以考虑无视以上,但要小心,总有一天会上公网,请尽快丢弃。.最后,如果你想关注和学习最新最主流的Java技术,可以持续关注公众号Java技术栈,公众号会第一时间推送。版权声明!!!本文由公众号《Java技术栈》原创。转载、引用本文内容请注明出处。抄袭、洗稿均属侵权投诉,后果自负,并保留追究法律责任的权利。近期热点文章推荐:1.1000+Java面试题及答案(2021最新版)2.厉害了!Java协程来了。..3.玩大!Log4j2.x再次爆发。..4、SpringBoot2.6正式发布,一大波新特性。.5.《Java开发手册(嵩山版)》最新发布,赶快下载吧!感觉不错,别忘了点赞+转发!
