Apache Log4j 2 团队宣布 Log4j 2.16.0 发布

科技资讯 投稿 50700 0 评论

Apache Log4j 2 团队宣布 Log4j 2.16.0 发布

Apache Log4j 2.16.0 现已可用。 Apache Log4j 2 团队宣布 Log4j 2.16.0 发布!强烈推荐升级2.16.0。

你可以从以下位置下载工件 https://logging.apache.org/log4j/2.x/download.html。

此版本包含一项更改,如下所述。

由于 SLF4J 绑定中的兼容性中断,Log4j 现在发布两个版本的 SLF4J 到 Log4j 的适配器。log4j-slf4j-impl对应 SLF4J 1.7.x 及更早版本; log4j-slf4j18-impl对应SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前还不完全支持。 

详细说明请查: https://issues.apache.org/jira/browse/LOG4J2-2975。

一些更改

  • 删除了消息Lookups。目的是采取强化措施以防止 CVE-2021-44228,此举措不是修复 CVE-2021-44228所必须的。

  • 虽然版本 2.15.0 删除了处理Lookups和利用JNDI从日志消息和地址访问的问题,Log4j团队认为默认启用 JNDI 会引入未知的风险。从版本 2.16.0 开始,JNDI 功能是默认情况下禁用,可以通过 log4j2.enableJndi
    重新启用系统属性。在不受保护的上下文中使用 JNDI 是一个很大的问题 安全风险,应该在这个库和 所有其他使用 JNDI 的 Java 库。

  • 在 2.15.0 版本之前,Log4j 会在模式布局(Pattern Layout)中包含的消息或参数中自动解析 Lookups。这行为不再是默认值,必须通过指定启用%msg{lookup}。

修正错误

LOG4J2-3208:默认禁用 JNDI。需要 log4j2.enableJndi设置为 true 以允许 JNDI。 LOG4J2-3211:完全删除对消息查找的支持。

Apache Log4j 2.16.0 至少需要 Java 8 才能构建和运行。Log4j 2.12.1 是最后一个支持 Java 7 的版本。Java 7 不是Log4j 团队的长期支持版本。

有关 Apache Log4j 2 的完整信息,包括有关如何提交错误报告、补丁或改进建议,请参阅 Apache Apache Log4j 2 网站:https://logging.apache.org/log4j/2.x/

编程笔记 » Apache Log4j 2 团队宣布 Log4j 2.16.0 发布

赞同 (60) or 分享 (0)
游客 发表我的评论   换个身份
取消评论

表情
(0)个小伙伴在吐槽