logback是否也受到spring boot中Log4j 0天漏洞问题的影响?
据我所知,logback也是由相同的作者编写的。我们的应用程序正在使用logback。是否有可能logback也会受到log4j中漏洞的影响?这对我们的组织至关重要。
共有2个答案
不,它不会影响
,但您至少可以调整您的pom文件以使用最新版本2.15.0
Spring Boot用户只有在将默认日志系统切换到Log4J2时才会受到此漏洞的影响。我们在spring boot starter日志记录中包含的log4j-to-slf4j和log4j-apijar不能单独利用。只有使用log4j core并在日志消息中包含用户输入的应用程序才易受攻击。
来源
有用的解释要点:
log4j-to-slf4j是log4jAPI和slf4j之间的适配器。它确实带来了log4j api,但没有带来log4j核心,因此我们的初学者不受此漏洞的影响。
-
据我所知,Logback是由相同的作者编写的。我们的应用程序正在使用Logback。是否有可能Logback也会受到Log4j中漏洞的影响?这对我们的组织至关重要。
-
目前Log4j日志框架中存在漏洞。但是在我们的项目中,我们没有直接使用log4j依赖。我们通过org.apache.common.使用log4j......所以问题是它是否会受到影响。
-
我最近在Log4J中读到了关于0天问题的文章。我使用了一些应用程序,这些应用程序是用。NET的日志库,它使用基于Log4j的log4net日志库。 log4net是否存在与log4j的CVE-2021-44228漏洞类似的安全漏洞?
-
正如我们在新闻中看到的,针对流行的库报告了一个新的零日漏洞,该漏洞允许攻击者远程执行代码。在我们的应用程序中,我们仍然使用以下依赖项。 是否仅针对报告该问题?或适用于版本是否也是?是否有测试该漏洞的示例代码?
-
spring cloud 版本问题 https://sca.aliyun.com/docs/2022/overview/version-explain/?spm=5176.29160081.0.0.748065cbJIDby8 Spring Cloud Alibaba Version Spring Cloud Version Spring Boot Version 2022.0.0.0* Spri
-
关于已经在CVE-2021-44228发现的Log4j JNDI远程代码执行漏洞-(另见参考文献)-我想知道Log4j-v1.2是否也受到影响,但是我从源代码审查中得到的最接近的是JMS-Appender。 问题是,虽然互联网上的帖子表明Log4j 1.2也存在漏洞,但我找不到相关的源代码。 我是否遗漏了其他人已经确认的东西? Log4j 1.2在socket server类中似乎有一个漏洞,但我