Apache Log4j 2.12.2 已发布。Log4j 是一个日志记录框架,Log4j 2 是对 Log4j 的升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。
下载地址:https://logging.apache.org/log4j/log4j-2.12.2/download.html
此版本的变化只针对 CVE-2021-44228 和 CVE-2021-45046 漏洞,适用于仍使用 Java 7 的开发者。
移除 PatternLayout 中的消息查找 (Message Lookups 功能,"%m{lookup}", "%m{nolookup}" 及其变种仍可作为转换模式被接受,但不会产生影响
默认禁用 JNDI,且当启用时只允许 "java" 协议
使 JNDI 查找无法运行,并删除消息查找功能
由于 Log4j 2.12.2 的 API,以及许多核心组件,保持了与以前版本的二进制兼容性,推荐开发者升级至此版本。
最后,Apache Log4j 2.12.2 至少需要 Java 7 才能构建和运行。Apache Log4j 2.16.0 是最新的 Log4j 版本,鼓励用户升级至此版本,因为 Java 7 已经不再受 Log4j 团队的支持。