Logback是否也受到Spring Boot中Log4j 0天漏洞的影响?[关闭]
据我所知,Logback是由相同的作者编写的。我们的应用程序正在使用Logback。是否有可能Logback也会受到Log4j中漏洞的影响?这对我们的组织至关重要。
共有2个答案
不,它不会影响
,但您至少可以调整您的pom文件以使用最新版本2.15.0
从Spring博客:
Spring Boot用户只有在将默认日志系统切换到Log4J2时才会受到此漏洞的影响。我们在spring boot starter日志记录中包含的log4j-to-slf4j和log4j-apijar不能单独利用。只有使用log4j core并在日志消息中包含用户输入的应用程序才易受攻击。
有用的解释要点:
log4j-to-slf4j是log4japi和slf4j之间的适配器。它确实带来了log4j api,但没有带来log4j核心,因此我们的初学者不受此漏洞的影响。
-
据我所知,logback也是由相同的作者编写的。我们的应用程序正在使用logback。是否有可能logback也会受到log4j中漏洞的影响?这对我们的组织至关重要。
-
目前Log4j日志框架中存在漏洞。但是在我们的项目中,我们没有直接使用log4j依赖。我们通过org.apache.common.使用log4j......所以问题是它是否会受到影响。
-
我最近在Log4J中读到了关于0天问题的文章。我使用了一些应用程序,这些应用程序是用。NET的日志库,它使用基于Log4j的log4net日志库。 log4net是否存在与log4j的CVE-2021-44228漏洞类似的安全漏洞?
-
null 这个范围在Google API控制台的“OAuth同意屏幕”选项卡中被命名为“OpenID”,URL中有“plus.me”。openid范围是默认设置。 https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email endpoint: https://acco
-
Joe Albahari有一个很棒的多线程系列,这是必读的,任何做C#多线程的人都应该熟记于心。 然而,在第4部分中,他提到了volatile的问题: 请注意,应用volatile并不能阻止先写后读的交换,这可能会产生脑筋急转弯。Joe Duffy用下面的例子很好地说明了这个问题:如果Test1和Test2同时在不同的线程上运行,那么a和b的值都可能为0(尽管在x和y上都使用volatile) 然
-
正如我们在新闻中看到的,针对流行的库报告了一个新的零日漏洞,该漏洞允许攻击者远程执行代码。在我们的应用程序中,我们仍然使用以下依赖项。 是否仅针对报告该问题?或适用于版本是否也是?是否有测试该漏洞的示例代码?