掃一掃
公司新聞,軟件行業資訊,通知公告
Apache Log4j2團隊宣布Log4j 2.16.0發布,強烈建議升級
來源:未知 時間:2022-24-27 瀏覽次數:288次
Apache Log4j2團隊宣布Log4j 2.16.0發布!
由于SLF4J適配兼容性的中斷,Log4j 現在發布兩個版本的SLF4J to Log4j的適配器。log4j-slf4j-impl對應 SLF4J 1.7.x 及更早版本;log4j-slf4j18-impl對應SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前還不完全支持。
強烈推薦升級2.16.0。
修正錯誤
LOG4J2-3208:默認禁用 JNDI。需要 log4j2.enableJndi設置為 true 以允許 JNDI。無論是Log4j2還是其它使用了JNDI的Java類庫中,在不受保護的上下文中使用JNDI都具有一個很大的問題安全風險。
LOG4J2-3211:完全刪除對Message Lookups的支持。目的是采取強化措施以防止 CVE-2021-44228,此舉措不是修復 CVE-2021-44228所必須的。
在 2.15.0 版本之前,Log4j 會在模式布局(Pattern Layout)中包含的消息或參數中自動解析 Lookups。這行為不再是默認值,必須通過指定啟用%msg{lookup}。
Apache Log4j 2.16.0至少需要Java 8才能構建和運行。Log4j 2.12.1是最后一個支持Java 7的版本。Java 7不是Log4j團隊的長期支持版本。
有關Apache Log4j2的完整信息,包括有關如何提交錯誤報告、補丁或改進建議,請參閱Apache Apache Log4j2網站