当前位置: 首页 > 知识库问答 >
问题:

Logback是否也受到Spring Boot中Log4j 0天漏洞的影响?[关闭]

宓毅庵
2023-03-14

据我所知,Logback是由相同的作者编写的。我们的应用程序正在使用Logback。是否有可能Logback也会受到Log4j中漏洞的影响?这对我们的组织至关重要。

共有2个答案

何安宜
2023-03-14

不,它不会影响
,但您至少可以调整您的pom文件以使用最新版本2.15.0

雍俊远
2023-03-14

从Spring博客:

Spring Boot用户只有在将默认日志系统切换到Log4J2时才会受到此漏洞的影响。我们在spring boot starter日志记录中包含的log4j-to-slf4jlog4j-apijar不能单独利用。只有使用log4j core并在日志消息中包含用户输入的应用程序才易受攻击

有用的解释要点:

log4j-to-slf4j是log4japi和slf4j之间的适配器。它确实带来了log4j api,但没有带来log4j核心,因此我们的初学者不受此漏洞的影响。

 类似资料:
  • 据我所知,logback也是由相同的作者编写的。我们的应用程序正在使用logback。是否有可能logback也会受到log4j中漏洞的影响?这对我们的组织至关重要。

  • 目前Log4j日志框架中存在漏洞。但是在我们的项目中,我们没有直接使用log4j依赖。我们通过org.apache.common.使用log4j......所以问题是它是否会受到影响。

  • 我最近在Log4J中读到了关于0天问题的文章。我使用了一些应用程序,这些应用程序是用。NET的日志库,它使用基于Log4j的log4net日志库。 log4net是否存在与log4j的CVE-2021-44228漏洞类似的安全漏洞?

  • null 这个范围在Google API控制台的“OAuth同意屏幕”选项卡中被命名为“OpenID”,URL中有“plus.me”。openid范围是默认设置。 https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email endpoint: https://acco

  • Joe Albahari有一个很棒的多线程系列,这是必读的,任何做C#多线程的人都应该熟记于心。 然而,在第4部分中,他提到了volatile的问题: 请注意,应用volatile并不能阻止先写后读的交换,这可能会产生脑筋急转弯。Joe Duffy用下面的例子很好地说明了这个问题:如果Test1和Test2同时在不同的线程上运行,那么a和b的值都可能为0(尽管在x和y上都使用volatile) 然

  • 正如我们在新闻中看到的,针对流行的库报告了一个新的零日漏洞,该漏洞允许攻击者远程执行代码。在我们的应用程序中,我们仍然使用以下依赖项。 是否仅针对报告该问题?或适用于版本是否也是?是否有测试该漏洞的示例代码?