据塔斯社12月14日报道，美国网络安全与基础设施安全局（CISA）已经命令所有的民用联邦机构在12月24日之前修补Log4j漏洞和其他三个漏洞，将其加入该组织的已知利用漏洞目录。

CISA为所有Log4j漏洞内容创建了一个登录页面，并与包括多家网络安全公司在内的联合网络防御合作组织一起提供见解。

CISA将Log4j漏洞与其他12个漏洞一起添加，其中4个漏洞的补救截止日期为12月24日，其余漏洞的补救截止日期为2022年6月10日。 预计将在圣诞节前修复的漏洞包括Zoho Corp.的桌面中央认证绕过漏洞、Fortinet FortiOS任意文件下载漏洞和Realtek Jungle SDK远程代码执行漏洞。

2021年12月9日，星云博创摘星实验室监测到网上Apache Log4j 的远程代码执行漏洞细节被公开，大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。该漏洞一旦被攻击者利用会造成严重危害。经过快速分析和确认，该漏洞影响范围极其广泛，危害极其严重，我们建议企业第一时间启动应急响应进行修复。

概述

Java日志框架SLF4J与Logback：让日志记录变得优雅又强大

在Java开发的世界里，日志记录是一个不可或缺的环节。它不仅是排查问题的重要工具，更是程序健壮性的一种体现。今天，我们就来聊聊两个非常流行的Java日志框架——SLF4J和Logback。它们就像是日志界的黄金搭档，帮助我们处理日志记录时游刃有余。

SLF4J与Logback：让Java日志记录变得简单优雅

在Java开发的世界里，日志记录是一项不可或缺的技术。它不仅帮助我们追踪程序运行的状态，还能在排查问题时提供重要的线索。今天，我们就来聊聊两个非常受欢迎的日志框架——SLF4J和Logback，以及如何将它们无缝整合在一起。

Apache 发布了另一个 Log4j 版本 2.17.1，修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞，编号为 CVE-2021-44832。

在今天之前，2.17.0 是 Log4j 的最新版本，被认为是最安全的升级版本，但现在这个建议已经演变。

一个月内五次Log4j CVE

攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右，当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。

Java程序员必备技能：玩转Logback与SLF4J日志框架

作为Java开发者，日志管理就像战场上的后勤保障，重要却容易被忽视。今天就让我们一起走进Logback与SLF4J的世界，揭开它们神秘的面纱，看看如何让日志记录变得既强大又优雅。

什么是日志框架？为何我们需要它？

　　阿帕奇软件基金会已经发布了包含积极的 利用影响广泛使用的基于Apache Log4j Java的日志库的零日漏洞，该漏洞可能被武器化以执行恶意代码，并允许完全接管易受攻击的系统。

　　跟踪为CVE-2021-44228这个问题涉及在任何使用开源实用程序的应用程序上未经身份验证的远程代码执行(RCE)的情况，并影响到Log4j 2.0-beta9到2.14.1的版本。该漏洞在CVSS评级系统中的得分为满分10分，这表明了问题的严重性。

今日，一个核爆炸级别的漏洞在技术圈引爆，那就是Apache Log4j 2 远程代码执行漏洞。一旦被攻击将造成严重危害。

log4j2是apache开源的一款优秀的JAVA日志框架，重写了log4j，提供了丰富的功能，使用起来非常方便。该日志被广泛应用于业务系统中，用来记录应用系统日志。

不过，近几年都在使用springboot框架，这个框架默认的是使用logback日志框架，如果没有明确指定使用log4j2日志，修复起来只需要把log4j2的maven依赖去掉即可，一定要启动项目进行验证。

源代码:
https://github.com/jianhong-li/java-log-explore ,欢迎star , 欢迎fork.

基本用法