IT之家 12 月 12 日消息,近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。
目前 Apache Log4j 2.15.0 正式版已发布,安全漏洞 CVE-2021-44228 已得到解决。
https://baijiahao.baidu.com/s?id=1718922676908787006&wfr=spider&for=pc
可以看到漏洞是针对slf4j2的,即slfj2.x版本
我司目前在用kafka有0.11(历史原因)和2.4版本
二者依赖的log4j都是通过slf4j-log4j12引进来的 都是1.2.x版本,因此不受此次log4j2漏洞的影响
https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12/2.0.0-alpha5
可以看到kafka依赖的是1.2.17版本
而最新的3.0也是依赖的1.2.17版本
log4j、log4j2、logback、slf4j的关系
slf4j:Simple Logging Facade for Java,为java提供的简单日志Facade。Facade门面,更底层一点说就是接口。它允许用户以自己的喜好,在工程中通过slf4j接入不同的日志系统。
因此slf4j入口就是众多接口的集合,它不负责具体的日志实现,只在编译时负责寻找合适的日志系统进行绑定。具体有哪些接口,全部都定义在slf4j-api中。查看slf4j-api源码就可以发现,里面除了public final class LoggerFactory类之外,都是接口定义。因此slf4j-api本质就是一个接口定义。
它只提供一个核心slf4j api(就是slf4j-api.jar包),这个包只有日志的接口,并没有实现,所以如果要使用就得再给它提供一个实现了些接口的日志包,比 如:log4j,common logging,jdk log日志实现包等,但是这些日志实现又不能通过接口直接调用,实现上他们根本就和slf4j-api不一致,因此slf4j又增加了一层来转换各日志实 现包的使用,比如slf4j-log4j12等。
