Apache Log4j2團隊宣布Log4j 2.16.0發布!
由于SLF4J適配兼容性的中斷,Log4j 現在發布兩個版本的SLF4J to Log4j的配接器,log4j-slf4j-impl對應 SLF4J 1.7.x 及更早版本;log4j-slf4j18-impl對應SLF4J 1.8.x 及更高版本一起使用,SLF4J-2.0.0 alpha 版本目前還不完全支持,
強烈推薦升級2.16.0,
修正錯誤
- LOG4J2-3208:默認禁用 JNDI,需要
log4j2.enableJndi設定為true以允許 JNDI,無論是Log4j2還是其它使用了JNDI的Java類別庫中,在不受保護的背景關系中使用JNDI都具有一個很大的問題安全風險, - LOG4J2-3211:完全洗掉對Message Lookups的支持,目的是采取強化措施以防止 CVE-2021-44228,此舉措不是修復 CVE-2021-44228所必須的,
在 2.15.0 版本之前,Log4j 會在模式布局(Pattern Layout)中包含的訊息或引數中自動決議 Lookups,這行為不再是默認值,必須通過指定啟用%msg{lookup},
Apache Log4j 2.16.0至少需要Java 8才能構建和運行,Log4j 2.12.1是最后一個支持Java 7的版本,Java 7不是Log4j團隊的長期支持版本,
有關Apache Log4j2的完整資訊,包括有關如何提交錯誤報告、補丁或改進建議,請參閱Apache Apache Log4j2網站:
https://logging.apache.org/log4j/2.x/
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/380893.html
標籤:java
上一篇:Spring Boot Log4j2漏洞修復指南 (Log4J2 Vulnerability and Spring Boot)