團(tuán)滅！Log4j 1.x 也爆雷了。。。速速棄用！！

最近炒得沸沸揚(yáng)揚(yáng)的 Log4j2 漏洞門事件，大家應(yīng)該都修復(fù)完了吧，還沒修復(fù)的看棧長分享的 Log4j2 最新漏洞動(dòng)態(tài)：

Log4j 2.3.1 發(fā)布！又是什么鬼？？

在 Log4j2 漏洞發(fā)生的同時(shí)，Logback 也未能幸免：

Logback 也爆雷了，驚爆了。。。

Java技術(shù)棧群里有小伙伴討論 Log4j 1.x 應(yīng)該沒漏洞：

棧長之前說過，Log4j 1.x 和 Logback 是能規(guī)避這個(gè)核彈級(jí)漏洞，很多小伙伴可能還在暗暗竊喜，沒錯(cuò)，但也有錯(cuò)，Log4j 1.x 是早已經(jīng)被淘汰的項(xiàng)目了，就算能規(guī)避這個(gè)漏洞，但早已經(jīng)不建議用了。

如 Log4j 1.x 官網(wǎng)所示：

Log4j 1.x 在 2015 年就停止維護(hù)了，已經(jīng)停止更新 7 年了。。

最新版本：Log4j 1.2.17，發(fā)布時(shí)間：2012-05-13

Log4j 1.x 算是最早一代的老古董日志框架了，也就是傳說中的老牌日志框架 "Log4j"，曾經(jīng)無處不在，現(xiàn)在很少用到了，除非在一些老系統(tǒng)中，所以關(guān)注度也很少了。

關(guān)注度少，不代表就能高枕無憂，Log4j 1.x 在 2019 年就爆了一次雷，在 Log4j 1.x 中發(fā)現(xiàn)了一個(gè)已知的安全漏洞 CVE-2019-17571：

這是一個(gè)反序列化導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞，漏洞詳細(xì)可參考：

https://www.cvedetails.com/cve/CVE-2019-17571/

由于官方不再維護(hù) Log4j 1.x，因此也不會(huì)修復(fù)此漏洞。另外，Log4j 1.x 還存在什么漏洞，因?yàn)殚L期沒有維護(hù)和檢測，目前也是未知的。

所以，還在用 Log4j 1.x 的同志們趕緊升級(jí)到 Log4j 2.x 或者換 Logback 吧?。?！

Logback 同樣也是 Log4j 的作者開發(fā)的，是 SLF4J 日志門面的原生實(shí)現(xiàn)，擁有更多豐富的特性，當(dāng)初也是 Log4j 1.x 的替代。

Log4j 2.x 是對(duì) Log4j 1.x 的升級(jí)，得到了重大改進(jìn)，并且吸引了 Logback 中的優(yōu)秀設(shè)計(jì)并加以優(yōu)化，還修復(fù)了 Log4j 1.x 的漏洞及許多問題，性能更是碾壓 Log4j 1.x，推薦使用。

Log4j2 和 Logback 怎么選可以參考棧長之前分享的：

Apache Log4j 爆核彈級(jí)漏洞，Spring Boot 默認(rèn)日志框架就能完美躲過?。?/a>

所以，Log4j 1.x 也不能獨(dú)善其身，別再用一個(gè)已經(jīng)停止維護(hù)多年、還存在漏洞的項(xiàng)目了……

這下好了，主流日志組件都有漏洞，團(tuán)滅?。?/strong>

如果是內(nèi)網(wǎng)系統(tǒng)，以上可以考慮無視，但小心哪天上了公網(wǎng)，所以也請(qǐng)速速棄用。。

最后，如果你想關(guān)注和學(xué)習(xí)最新、最主流的 Java 技術(shù)，可以持續(xù)關(guān)注公眾號(hào)Java技術(shù)棧，公眾號(hào)第一時(shí)間推送。

版權(quán)聲明?。?！

本文系公眾號(hào) "Java技術(shù)棧" 原創(chuàng)，轉(zhuǎn)載、引用本文內(nèi)容請(qǐng)注明出處，抄襲、洗稿一律投訴侵權(quán)，后果自負(fù)，并保留追究其法律責(zé)任的權(quán)利。