在探讨slf4j-log4j12的漏洞情况时,我们需要明确的是,slf4j-log4j12本身并不包含漏洞,但它所依赖的Log4j 1.2版本可能存在漏洞。然而,就近期被广泛关注的Apache Log4j 2的远程代码执行漏洞(CVE-2021-44228)而言,该漏洞并不影响slf4j-log4j12,因为slf4j-log4j12绑定的是Log4j 1.2,而不是Log4j 2。
取决于 SLF4J 的底层实现。 log4j 1.x 相对于 CVE-2021-44228 是安全的。因此,如果您的 SLF4J 提供程序/绑定是 slf4j-log4j12.jar,那么您对 CVE-2021-44228 是安全的。 如果您将 log4j-over-slf4j.jar 与 SLF4J API 结合使用,那么您是安全的,除非底层实现是 log4j 2.x。 检查这个 - http://slf4j....
一、参考资料 SLF4J简介 -SLF4J教程™ logback和log4j比较,前者是后者改良,logback配置详解_zbajie001的博客- Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响
解决 在pom.xml文件的依赖中加入下列依赖即可:<dependency> <groupId>org.slf4j</groupId> ...
从JDK1.4开始提供java.until.logging日志框架来打印日志,但是大佬觉得JUL太难用了,就自己手撸了个log4j,后来log4j发现安全漏洞,加上代码结构问题难以维护,于是从1.2就停止更新log4j,并又重新手撸了个log4j2,再后来,这个大佬又又又撸了一个性能更高、功能更全的logback。
slf4j是日志框架的标准接口, log4j-api是log4j日志框架的接口, log4j-to-slf4j是log4j适配sl4j接口的...
从JDK1.4开始提供java.until.logging日志框架来打印日志,但是大佬觉得JUL太难用了,就自己手撸了个log4j,后来log4j发现安全漏洞,加上代码结构问题难以维护,于是从1.2就停止更新log4j,并又重新手撸了个log4j2,再后来,这个大佬又又又撸了一个性能更高、功能更全的logback。
Logback是Log4j的后继版本,由Log4j的作者开发。相比Log4j,Logback具有更好的性能和更丰富的功能,同时也更易于配置和扩展。 Log4j2 log4j2是log4j的代替升级版,之前log4j曾爆出“核弹级”漏洞,现在已经不推荐使用了。 2、性能方面 在测试环境和条件相同的情况下,log4j2 全面优于 logback, log4j2性能是 logback的...
接国家网络与信息安全信息通报中心预警,开源Java开发组件fastjson存在反序列化漏洞。攻击者可利用上述漏洞...
和log4j配合,需要导入「log4j.jar」,以及桥接包「slf4j-log412.jar」。 官方图美中不足的是没有log4j2依赖jar的关系,和log4j2配合需要导入log4j2的「log4j-api.jar」、「log4j-core.jar」和桥接包「log4j-slf4j-impl.jar」。 logback只需要导入「logback-classic.jar」和「logback-core.jar」即可,不需要桥接包...