从 logback 漏洞,谈到我们是否可以继续使用开源软件

已于 2022-03-01 12:04:47 修改
阅读量575 收藏
点赞数
分类专栏: 随想 文章标签: 安全 web安全
于 2022-02-24 11:41:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/assember/article/details/123108325
版权

简介

logback 前段时间爆出高危漏洞,一时间人人自危,各大软件使用了logback 的第一时间提供更新补丁,各大公司连夜紧急处理。

这时候,我们不禁回去思考,是否以后选择工具和中间件时还是选择信任开源软件

是否信任开源软件

站在我的立场上,我认为,如果在我需要的时候,我依旧会选择使用开源软件和工具进行开发。

原因如下:

  1. 开源软件更加成熟,能够避免自己编写时,造成的不必要的 bug
  2. 开源软件选择还在继续维护的,就能够坐享新特性的更新,同时优化自己的性能
  3. 开源软件虽然会有可能出现不可控的 bug 问题,但是社区会第一时间进行补丁修复

总结

综上可述,尽管本次 logback 漏洞引起了足够大的影响,但是依旧不会影响开源软件的发展和用户继续依赖和使用开源软件。

最好的方式,就是自己也参与其中,为开源贡献自己的一份力量,造福大家。

assember
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logback漏洞、继log4j2之后logback也发现了问题?
毛虫-strive-blogs
12-26 3788
前两天因为log4j2的问题许多公司估计都通宵达旦的加班看版本改BUG了,但最近Logback也被发现相同问题。 logback漏洞说明 下面是一个漏洞检测机构搜集到的消息。 在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外,还有一个可用的探索。 CVE 摘要是: 在 logback 版本 1.2.7 和之前的版本中,具有编辑配置文件所需权限的
Log4j一波未平,Logback 一波又起再爆漏洞
rqaz123的博客
12-29 873
背景 前些天Log4j的漏洞,不知多少程序被抓去加班,关键漏洞还是接连出现的,真是辛苦了程序员,也辛苦了Log4j的开源作者。 为此,二师兄还专门写了一篇还原漏洞的文章【原文点这里】。竟然有朋友在评论区说”就这么一个小漏洞,值得这么大肆的写吗?“。看来那位朋友还没意识到漏洞的严重性。 本来以为使用的是Logback能够躲过一劫,没想到,又看到朋友圈在讨论Logback的爆出的新漏洞,吓得赶紧看了一下项目中的版本。 漏洞详情 为了了解一下是什么情况,先去官网(https://logback.qo
Log4j一波未平,Logback 一波又起,再爆漏洞
程序新视界
12-25 2849
背景 前些天Log4j的漏洞,不知多少程序被抓去加班,关键漏洞还是接连出现的,真是辛苦了程序员,也辛苦了Log4j的开源作者。 为此,二师兄还专门写了一篇还原漏洞的文章【原文点这里】。竟然有朋友在评论区说”就这么一个小漏洞,值得这么大肆的写吗?“。看来那位朋友还没意识到漏洞的严重性。 本来以为使用的是Logback能够躲过一劫,没想到,又看到朋友圈在讨论Logback的爆出的新漏洞,吓得赶紧看了一下项目中的版本。 漏洞详情 为了了解一下是什么情况,先去官网(https://logback.qos.ch/ne
Log4j2 漏洞过后、Logback漏洞也来了
Within的博客
12-24 3865
Log4j2 漏洞过后、Logback漏洞也来了
Logback1.2.9以下也塌房了,快速修复Logback漏洞
DDDInJava
12-23 3694
今天Logback也出漏洞了,漏洞说明如下: 上次Log4j出漏洞时,就换成了Logback。万万没想到Logback,今天也塌房了。快速修复依赖如下:
【log4j漏洞研究】log4j通过slf4j转logback
DRD
05-10 1149
log4j项目 pom.xml <properties> <maven.compiler.source>8</maven.compiler.source> <maven.compiler.target>8</maven.compiler.target> <log.version>2.14.0</log.version> <!-- jdk7升级倒2.12.
Spring Boot 年前最后一个版本发布,一招解决 Log4j2、Logback 漏洞。。
Java技术栈,分享最主流的Java技术
01-22 712
Spring Boot 2.6.3 发布 大家好,我是栈长。 最近,Spring Boot 又双叒叕更新了: 可以看到,Spring Boot 现在目前维护了 4 条版本线,但本次只更新了两个版本: 2.6.3 2.5.9 这可能是春节前的最后一次发版了。 关注公众号Java技术栈的小伙伴应该都知道,在前些天的《终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!》一文中,栈长有解读到,为了应对及解决 Log4j2 的核弹级漏洞,以及 Logback 漏洞,Spring Bo
logback配置错误当中的陷阱
williamzhougps的博客
03-01 3560
logback的xml配置文件没有DTD或者schema,也就是说可以让人随意的配置 结果就是,一不小心就会配置一些错误的标签进去。或者是原来的配置是正确的,但是logback升级等操作之后,配置就会有错误了 如果在一般的application(war其实也是某种格式的application)当中,即便是用来spring作为容器,但是main方法是完全Pure Java的,即自己手动的加载Sp
用Clojure编写REST service 五 使用logback(有bug)
Dean Chen的专栏
01-02 3006
一个完整的web app当然需要写日志。这里我采用习惯的slf4j+logback。首先在my-website目录的project.clj文件中添加两个依赖:tools.logging&logback-classic(defproject my-website "0.1.0-SNAPSHOT" :description "FIXME: write this!"
Spring Boot 年前最后一个版本发布,一招解决 Log4j2、Logback 漏洞!!
Java技术栈,分享最主流的Java技术
01-22 581
点击关注公众号,Java干货及时送达Spring Boot 2.6.3 发布大家好,我是栈长。最近,Spring Boot 又双叒叕更新了:可以看到,Spring Boot 现在目前维护了...
Spring Boot restart logging.config logback JNDI RCE漏洞复现
Bird&Bird
03-13 838
但为了让程序不抛错退出,需要针对性的修改用到的代码,比如修改 JNDIExploit/src/main/java/com/feihong/ldap/template/CommandTemplate.java 文件,让其返回的 class 字节码继承 javax.naming.spi.ObjectFactory 接口。⚠️ JNDI 服务返回的 object 需要实现 javax.naming.spi.ObjectFactory 接口,否则会导致程序异常退出。
logback1.2.3版本日志bug
最新发布
qq_41178109的博客
12-07 516
日志文件数量超过1000后将无法自动删除。
Spring整合logback以及其中遇到的坑
西瓜游侠的博客
09-10 8164
Spring整合logback pom.xml 中添加logback相关依赖 &amp;lt;!-- slf4j + logback --&amp;gt; &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.slf4j&amp;lt;/groupId&amp;gt; &amp;lt;artifact
跟个风,聊一聊这两天很火的Log4j核弹级漏洞
jinggege_795的博客
12-12 1482
相信大家这两天应该被这么一条新闻刷屏了吧: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事! log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,可以帮
springboot整合logback的小坑
kakaweb的博客
05-13 349
springboot+logback是非常成熟的套装了,通常为了在多环境启动,我们会有多个配置文件通过不同的启动参数满足不同环境的运行需求。如图所示。 当我们创建3个不同环境的logback文件(logback-dev.xml/logback-test.xml/logback-prod.xml)时,通过启动日志可以发现,加载的文件永远是logback-test.xml。 查看logback源码可以发现,在启动时ContextInitializer按以下顺序尝试获取classpath下的配置.
Logback 也爆雷了,惊爆了。。。
Java技术栈,分享最主流的Java技术
12-25 2623
Logback 也爆雷了 Log4j2 漏洞最新进展: Log4j 2.3.1 发布!又是什么鬼?? Log4j2 核弹级漏洞刚结束没几天,Logback 其实也爆雷了,这你能信?? 栈长在上篇文章提到,因 Log4j2 漏洞的反复无常,导致某些公司已经切换到 Logback 了,如果这也是你们公司的决定,请在文章下面评论区留言。 可令栈长万万想不到的是,在 Log4j2 漏洞修复期间,Logback 也出事了,我们来看官方的通告: 漏洞摘要 CVE-2021-42550 远程代码执行漏洞
Logback:旨在取代 log4j 的日志组件
admin_ccg的博客
04-27 146
Logback 是一款旨在取代 log4j 的日志组件,与 log4j 相比有哪些优势呢? 更快的实现。 充分的测试。 丰富的文档。 支持 XML 或 Groovy 配置文件。 自动载入配置文件。 优雅的恢复 I/O 失败。 logback-classic 兼容SLF4J。 自动清除历史日志。 自动压缩日志文件。 安全模式。 支持 Lilith。 可以在配置文件中设...
logback 日志 介绍和配置详解
qq_30436011的博客
10-14 8450
logback介绍和配置详解 logback是Java的开源框架,性能比log4j要好。是springboot自带的日志框架。该框架主要有3个模块: logback-core:核心代码块(不介绍) log back-classic:实现了slf4j的api,加入该依赖可以实现log4j的api。 log back-access:访问模块与servlet容器集成提供通过http来访问日志的功能(也就是说不需要访问服务器,直接在网页上就可以访问日志文件)。 一、logback使用 引入maven依
Logback体系架构
jiangqiongfeng的博客
05-17 1493
本文翻译自:Logback Architecture Logback的基本架构足够通用,以适用于不同的环境。目前,Logback分为三个模块,logback-core、logback-classic和logback-access。 core模块为其他两个模块奠定了基础。classic模块扩展了core模块,相当于log4j的一个显著改进版本。logback-classic原生实现了SL...
java使用logback
07-28
Java使用Logback作为日志组件的方式是通过引入Logback的相关依赖,并在代码中使用Logger对象进行日志记录。首先,需要在项目的依赖管理中添加Logback的相关依赖。然后,在代码中引入Logger对象,并使用Logger对象的不同方法进行日志记录。例如,可以使用logger.error()方法记录错误信息,logger.warn()方法记录警告信息,logger.info()方法记录运行信息,logger.debug()方法记录调试信息,logger.trace()方法记录追踪信息。在Logback中,还可以通过配置文件来指定日志的输出目的地、格式等。\[2\]可以使用logback.xml配置文件来配置Logback的相关设置。在配置文件中,可以定义Logger、Appender和Layout等组件,用于存放日志对象、指定日志输出的目的地和格式化日志信息的输出。通过配置文件,可以灵活地配置Logback的日志记录方式。\[1\]所以,要在Java中使用Logback,需要引入Logback的相关依赖,并在代码中使用Logger对象进行日志记录,同时可以通过配置文件来配置Logback的相关设置。 #### 引用[.reference_title] - *1* *2* *3* [Java的常用日志技术(二)Logback详解](https://blog.csdn.net/qq_41946216/article/details/124983469)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值