拨开荷叶行,寻梦已然成。仙女莲花里,翩翩白鹭情。
IMG-LOGO
主页 文章列表 团灭!Log4j 1.x 也爆雷了。。。速速弃用!!

团灭!Log4j 1.x 也爆雷了。。。速速弃用!!

白鹭 - 2022-02-17 2255 0 0

最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看堆栈长分享的 Log4j2 最新漏洞动态:

在 Log4j2 漏洞发生的同时,Logback 也未能幸免:

Java技术堆栈群里有小伙伴讨论 Log4j 1.x 应该没漏洞:

堆栈长之前说过,Log4j 1.x 和 Logback 是能规避这个核弹级漏洞,很多小伙伴可能还在暗暗窃喜,没错,但也有错,Log4j 1.x 是早已经被淘汰的项目了,就算能规避这个漏洞,但早已经不建议用了,

如 Log4j 1.x 官网所示:

Log4j 1.x 在 2015 年就停止维护了,已经停止更新 7 年了,,

Log4j 1.x 算是最早一代的老古董日志框架了,也就是传说中的老牌日志框架 "Log4j",曾经无处不在,现在很少用到了,除非在一些老系统中,所以关注度也很少了,

关注度少,不代表就能高枕无忧,Log4j 1.x 在 2019 年就爆了一次雷,在 Log4j 1.x 中发现了一个已知的安全漏洞 CVE-2019-17571:

这是一个反序列化导致的远程代码执行漏洞,漏洞详细可参考:

由于官方不再维护 Log4j 1.x,因此也不会修复此漏洞,另外,Log4j 1.x 还存在什么漏洞,因为长期没有维护和检测,目前也是未知的,

所以,还在用 Log4j 1.x 的同志们赶紧升级到 Log4j 2.x 或者换 Logback 吧!!!

Log4j2 和 Logback 怎么选可以参考堆栈长之前分享的:

所以,Log4j 1.x 也不能独善其身,别再用一个已经停止维护多年、还存在漏洞的项目了……


这下好了,主流日志组件都有漏洞,团灭!!

如果是内网系统,以上可以考虑无视,但小心哪天上了公网,所以也请速速弃用,,

最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术堆栈,公众号第一时间推送,

近期热文推荐:

1.1,000+ 道 Java面试题及答案整理(2021最新版)

2.劲爆!Java 协程要来了,,,

3.玩大了!Log4j 2.x 再爆雷,,,

4.Spring Boot 2.6 正式发布,一大波新特性,,

5.《Java开发手册(嵩山版)》最新发布,速速下载!

觉得不错,别忘了随手点赞+转发哦!

标签:

0 评论

发表评论

您的电子邮件地址不会被公开。 必填的字段已做标记 *