写文章
  1. 跳跳糖网首页
  2. 投稿

Apache Log4j 2.16.0 已发布(强烈推荐升级)

虚空、 投稿

Apache Log4j 2.16.0 现已可用。 Apache Log4j 2 团队宣布 Log4j 2.16.0 发布!

你可以从以下位置下载工件 https://logging.apache.org/log4j/2.x/download.html。

此版本包含一项更改,如下所述。

由于 SLF4J 绑定中的兼容性中断,Log4j 现在发布两个版本的 SLF4J 到 Log4j 的适配器。log4j-slf4j-impl对应 SLF4J 1.7.x 及更早版本; log4j-slf4j18-impl对应SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前还不完全支持。 详细说明请查看: https://issues.apache.org/jira/browse/LOG4J2-2975 https://jira.qos.ch/browse/SLF4J-511。

Apache Log4j 2.16.0 已发布(强烈推荐升级)

一些更改

  • 删除了消息Lookups。目的是采取强化措施以防止 CVE-2021-44228,此举措不是修复 CVE-2021-44228所必须的。
  • 虽然版本 2.15.0 删除了处理Lookups和利用JNDI从日志消息和地址访问的问题,Log4j团队认为默认启用 JNDI 会引入未知的风险。从版本 2.16.0 开始,JNDI 功能是默认情况下禁用,可以通过 log4j2.enableJndi重新启用系统属性。在不受保护的上下文中使用 JNDI 是一个很大的问题 安全风险,应该在这个库和 所有其他使用 JNDI 的 Java 库。
  • 在 2.15.0 版本之前,Log4j 会在模式布局(Pattern Layout)中包含的消息或参数中自动解析 Lookups。这行为不再是默认值,必须通过指定启用%msg{lookup}。

强烈推荐升级2.16.0。

修正错误

LOG4J2-3208:默认禁用 JNDI。需要 log4j2.enableJndi设置为 true 以允许 JNDI。 LOG4J2-3211:完全删除对消息查找的支持。

Apache Log4j 2.16.0 至少需要 Java 8 才能构建和运行。Log4j 2.12.1 是最后一个支持 Java 7 的版本。Java 7 不是Log4j 团队的长期支持版本。

有关 Apache Log4j 2 的完整信息,包括有关如何提交错误报告、补丁或改进建议,请参阅 Apache Apache Log4j 2 网站:

https://logging.apache.org/log4j/2.x/

您可能感兴趣:

Apache Log4j 高危漏洞曝光(apache log4j2漏洞影响范围)

Apache Hudi 0.10.0版本重磅发布(Apache Hudi新版本功能特性)

Apache存在Log4j远程代码执行漏洞(Apache Log4j漏洞影响版本以及安全建议)

fliflink dataset与datastream有什么区别(dataset和datastream的区别)

java设计模式在项目中应用,Java程序中如何很好地运用设计模式?

如何在 Ubuntu 和其他 Linux 上安装 Apache Cassandra(Apache Cassandra安装教程)

(0)
虚空、虚空、投稿者
0 0

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 xxx@163.com 举报,一经查实,本站将立刻删除。

发表评论

登录后才能评论