关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。
我们不允许提出有关书籍、工具、软件库等建议的问题。您可以编辑问题,以便可以用事实和引用来回答它。
7 个月前关闭。
Improve this question
据我了解,Logback 是由同一作者编写的。我们的应用程序正在使用 Logback。 Logback 是否也有可能受到 Log4j 中的漏洞利用的影响?
这对我们的组织至关重要。
最佳答案
来自 Spring blog :
Spring Boot users are only affected by this vulnerability if they have switched the default logging system to Log4J2. The
log4j-to-slf4j
andlog4j-api
jars that we include inspring-boot-starter-logging
cannot be exploited on their own. Only applications usinglog4j-core
and including user input in log messages are vulnerable.
有用的解释点:
log4j-to-slf4j
是 Log4J API 和 SLF4J 之间的适配器。它确实带来了log4j-api
但不带log4j-core
所以我们的启动器不受这个漏洞的影响。
关于spring-boot - Logback 是否也受到 Spring Boot 中的 Log4j 零日漏洞问题的影响?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70349481/