Logback是否也受到Spring Boot中Log4j零日漏洞问题的影响？ [英] Is Logback also affected by the Log4j zero-day vulnerability issue in Spring Boot?

问题描述

据我所知，Logback是由相同的作者编写的。我们的应用程序改用Logback。LogBack是否也会受到Log4j中的利用漏洞攻击的影响？

这对我们的组织至关重要。

推荐答案

来自Spring blog：

仅当Spring Boot用户将默认日志记录系统切换到Log4J2时，他们才会受到此漏洞的影响。我们在spring-boot-starter-logging中包含的log4j-to-slf4j和log4j-apiJAR不能单独利用。只有使用log4j-core并在日志消息中包含用户输入的应用程序才易受攻击。

有用的解释要点：

log4j-to-slf4j是Log4J API和SLF4J之间的适配器。它确实带来了log4j-api，但没有带来log4j-core，因此我们的启动器不受此漏洞的影响。

这篇关于Logback是否也受到Spring Boot中Log4j零日漏洞问题的影响？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！