Logback是一个开源的日志框架，由Log4j的创始人Ceki Gülcü开发，旨在提供更高效和灵活的日志记录功能。 Spring Boot默认使用Logback作为日志框架。

针对最近重要的Log4j和Spring框架远程命令执行漏洞，Scantist SCA已快速响应和支持对该漏洞利用攻击的监测，同时提供修复方案及建议。

在 Log4j 漏洞曝光之后，Apache 软件基金会于上周二发布了修补后的 2.17.0 新版本，并于周五晚些发布了一个新补丁。 官方承认 2.16 版本无法在查找评估中妥善防止无限递归，因而易受 CVE-2021-45105 攻击的影响。

近日，Apache Log4j 的 2.0-alpha1 到 2.16.0 版本被发现存在新的漏洞 CVE-2021-45105，该漏洞评分 7.5， 官方已发布 2.17.0 修复了该漏洞。 IT之家了解到，该漏洞是自引用查找的不受控制的递归问题，允许控制线程上下文映射数据的攻击者在解释字符串时导致拒绝服务。

Apache Log4j是美国阿帕奇（Apache）软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小 ...

通过把Product和Logging项目分别放在不同的机器上执行，在第三台机器上部署ActiveMQ（当然你可以把ActiveMQ搭建在任意可以访问的地方），再配置一下Product项目的log4j.properties文件和Logging项目的spring.xml文件就能用于生产环境啦。