Logback是否也受到Spring Boot中Log4j零日漏洞问题的影响? [英] Is Logback also affected by the Log4j zero-day vulnerability issue in Spring Boot?
本文介绍了Logback是否也受到Spring Boot中Log4j零日漏洞问题的影响?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
据我所知,Logback是由相同的作者编写的。我们的应用程序改用Logback。LogBack是否也会受到Log4j中的利用漏洞攻击的影响?
这对我们的组织至关重要。
推荐答案
来自Spring blog:
仅当Spring Boot用户将默认日志记录系统切换到Log4J2时,他们才会受到此漏洞的影响。我们在spring-boot-starter-logging
中包含的log4j-to-slf4j
和log4j-api
JAR不能单独利用。只有使用log4j-core
并在日志消息中包含用户输入的应用程序才易受攻击。
有用的解释要点:
log4j-to-slf4j
是Log4J API和SLF4J之间的适配器。它确实带来了log4j-api
,但没有带来log4j-core
,因此我们的启动器不受此漏洞的影响。
这篇关于Logback是否也受到Spring Boot中Log4j零日漏洞问题的影响?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文