七叶笔记 » golang编程 » Log4j 2.16.0发布,强烈建议升级

Log4j 2.16.0发布,强烈建议升级

继前天正式发布的2.15.0之后,Apache log4j 2 团队宣布 Log4j 2.16.0 发布!

由于 SLF4J 适配兼容性的中断,Log4j 现在发布两个版本的 SLF4J to Log4j 的适配器。 log4j- SLF4J- impl 对应 SLF4J 1.7.x 及更早版本; log4j-slf4j18-impl 对应 SLF4J 1.8.x 及更高版本一起使用。 SLF4J-2.0.0 alpha 版本目前还不完全支持。

强烈推荐升级2.16.0。

修正错误

  • LOG4J2-3208:默认禁用 JNDI 。需要 log4j2.enableJndi 设置为 true 以允许 JNDI。无论是Log4j2还是其它使用了JNDI的Java类库中,在不受保护的上下文中使用JNDI都具有一个很大的问题安全风险。
  • LOG4J2-3211:完全删除对Message Lookups的支持。目的是采取强化措施以防止 CVE -2021-44228,此举措不是修复 CVE-2021-44228所必须的。

在 2.15.0 版本之前,Log4j 会在模式布局(Pattern Layout)中包含的消息或参数中自动解析 Lookups。这行为不再是默认值,必须通过指定启用 %msg{lookup}

Apache Log4j 2.16.0至少需要Java 8才能构建和运行。Log4j 2.12.1是最后一个支持Java 7的版本。 Java 7 不是Log4j团队的长期支持版本。

有关Apache Log4j2的完整信息,包括有关如何提交错误报告、补丁或改进建议,请参阅Apache Apache Log4j2网站:

相关文章