IT之家 12 月 12 日消息,近期一個 Apache Log4j 遠程代碼執(zhí)行漏洞細節(jié)被公開炊豪,攻擊者利用漏洞可以遠程執(zhí)行代碼晴圾。
目前 Apache Log4j 2.15.0 正式版已發(fā)布妻熊,安全漏洞 CVE-2021-44228 已得到解決。
https://baijiahao.baidu.com/s?id=1718922676908787006&wfr=spider&for=pc
可以看到漏洞是針對slf4j2的,即slfj2.x版本
我司目前在用kafka有0.11(歷史原因)和2.4版本
二者依賴的log4j都是通過slf4j-log4j12引進來的 都是1.2.x版本,因此不受此次log4j2漏洞的影響
https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12/2.0.0-alpha5
可以看到kafka依賴的是1.2.17版本
而最新的3.0也是依賴的1.2.17版本
log4j冤荆、log4j2、logback权纤、slf4j的關(guān)系
slf4j:Simple Logging Facade for Java钓简,為java提供的簡單日志Facade。Facade門面汹想,更底層一點說就是接口外邓。它允許用戶以自己的喜好,在工程中通過slf4j接入不同的日志系統(tǒng)古掏。
因此slf4j入口就是眾多接口的集合损话,它不負責(zé)具體的日志實現(xiàn),只在編譯時負責(zé)尋找合適的日志系統(tǒng)進行綁定。具體有哪些接口丧枪,全部都定義在slf4j-api中光涂。查看slf4j-api源碼就可以發(fā)現(xiàn),里面除了public final class LoggerFactory類之外豪诲,都是接口定義顶捷。因此slf4j-api本質(zhì)就是一個接口定義。
它只提供一個核心slf4j api(就是slf4j-api.jar包)屎篱,這個包只有日志的接口服赎,并沒有實現(xiàn),所以如果要使用就得再給它提供一個實現(xiàn)了些接口的日志包交播,比 如:log4j,common logging,jdk log日志實現(xiàn)包等重虑,但是這些日志實現(xiàn)又不能通過接口直接調(diào)用瞻惋,實現(xiàn)上他們根本就和slf4j-api不一致惹想,因此slf4j又增加了一層來轉(zhuǎn)換各日志實 現(xiàn)包的使用,比如slf4j-log4j12等恋拍。
