log4j漏洞,kafka受影响了吗

IT之家 12 月 12 日消息，近期一个 Apache Log4j 远程代码执行漏洞细节被公开，攻击者利用漏洞可以远程执行代码。

目前 Apache Log4j 2.15.0 正式版已发布，安全漏洞 CVE-2021-44228 已得到解决。
https://baijiahao.baidu.com/s?id=1718922676908787006&wfr=spider&for=pc
可以看到漏洞是针对slf4j2的,即slfj2.x版本

我司目前在用kafka有0.11(历史原因)和2.4版本
二者依赖的log4j都是通过slf4j-log4j12引进来的 都是1.2.x版本,因此不受此次log4j2漏洞的影响

https://mvnrepository.com/artifact/org.slf4j/slf4j-log4j12/2.0.0-alpha5
可以看到kafka依赖的是1.2.17版本

而最新的3.0也是依赖的1.2.17版本

log4j、log4j2、logback、slf4j的关系
slf4j:Simple Logging Facade for Java，为java提供的简单日志Facade。Facade门面，更底层一点说就是接口。它允许用户以自己的喜好，在工程中通过slf4j接入不同的日志系统。

因此slf4j入口就是众多接口的集合，它不负责具体的日志实现，只在编译时负责寻找合适的日志系统进行绑定。具体有哪些接口，全部都定义在slf4j-api中。查看slf4j-api源码就可以发现，里面除了public final class LoggerFactory类之外，都是接口定义。因此slf4j-api本质就是一个接口定义。

它只提供一个核心slf4j api(就是slf4j-api.jar包)，这个包只有日志的接口，并没有实现，所以如果要使用就得再给它提供一个实现了些接口的日志包，比 如：log4j,common logging,jdk log日志实现包等，但是这些日志实现又不能通过接口直接调用，实现上他们根本就和slf4j-api不一致，因此slf4j又增加了一层来转换各日志实 现包的使用，比如slf4j-log4j12等。

斯拉夫.png