+
 新版

Apache Log4j 2.15.0 发布,安全漏洞已得到解决

Apache Log4j 是一个知名的记录应用程序行为的框架。Log4j 2 是 Log4j 的升级版,与它的前身 Log4j 1.x 相比,提供了显著的改进,并提供了许多其他现代功能。

Apache Log4j 2.15.0 版本正式发布,安全漏洞 CVE-2021-44228 在 Log4j 2.15.0 中已得到解决。

Log4j 2.15.0 的一些新特性包括:

  • 支持仲裁器,它是条件性的,可以使日志配置的部分被包含或排除。
  • 支持 Jakarta EE 9,这在功能上等同于 Log4j 的 log4j-web 模块。
  • 各种性能改进。

需要注意的关键变化:

  • 在这个版本之前,Log4j 会自动解析消息中包含的查找或在 Pattern Layout 中的参数。现在,这个行为不再是默认的,必须通过指定 %msg{lookup} 来启用。
  • JNDI 查询已被限制为默认情况下只支持 java、ldap 和 ldaps 协议。LDAP 也不再支持实现 Referenceable 接口的类,并将可序列化的类限制为默认的 Java 原始类,并要求指定一个允许列表来访问远程 LDAP 服务器。
  • Log4j 2.15.0 的 API 以及许多核心组件与以前的版本保持兼容。

可以从 https://logging.apache.org/log4j/2.x/download.html 下载最新版本。

Apache Log4j 2.15.0 发布,安全漏洞已得到解决
晒太阳的小猪
晒太阳的小猪
2021-12-13 20:54
weblogic是否受影响??!!
回复
举报
会哭的鳄鱼
会哭的鳄鱼
2021-12-11 22:23
就是依赖版本用最新的,这也需要发个文章吗?老项目,普通web项目,直接编译出来最新版的jar,替换掉旧版本就行了。还搁得住开会讨论?
回复
举报
CoryNuly
CoryNuly
2021-12-11 14:51
log4j这个事情吧,又要再说一次了,开源商业化的基本常识:上游的东西不能直接进生产环境,必须要有一个能为之负责的服务商,否则只能花高价养个团队。底层基础库不好卖服务,厂商应该考虑捐赠或者贡献一点力量,总比自己来搞省成本
回复
举报
galaxist1314
galaxist1314
2021-12-13 10:19
你说的很好,以后不要再说了,或者到我老板那里去说,我们使用开源软件要花钱再养一个开源团队,然后老板问我们,那要你们开发团队干什么?我不如换个团队养?
回复
举报
二猿外
二猿外
2021-12-11 12:21
谁用谁知道
回复
举报
m
maxc
2021-12-11 11:50
用的多漏洞多,用的少漏洞少。和windows一样。
回复
举报
小xu中年
小xu中年
2021-12-11 08:56
炸圈了
回复
举报
回复 @
{{ emoji.type }}
{{emojiItem.symbol}}
热门资讯
Redis 之父发布 DeepSeek V4 Flash 专用推理引擎 ds4
· 05/08 14:47
0 评论
DeepSeek 估值逼近 450 亿美元,国家大基金领投首轮外部融资
· 05/06 17:51
0 评论
Linux 基金会年度预算曝光:仅 2.95% 用于 Linux,超 97% 流向别处
· 05/09 16:10
0 评论
Mojo 编程语言发布 1.0.0b1:像 Python 一样写,像 C++ 一样跑
· 05/09 16:50
3 评论
Win32 三十年不倒:微软承认 Windows 仍依赖 1990 年代技术根基
白开水不加糖 · 05/09 17:59
2 评论
DeepSeek 大范围开放识图模式:不是 OCR,是真看图说话
· 05/09 14:56
0 评论
统信桌面操作系统 V20(1070u5)正式发布!如意玲珑 Linyaps 应用体验跃升!
深度操作系统 · 前天 16:26
0 评论
老乡鸡“又”开源了
白开水不加糖 · 05/07 17:16
0 评论
马斯克 xAI 解散,22 万张 GPU 租给 Claude,算力增加会对中国解封吗?
JEECG官方 · 05/07 15:35
0 评论
PHP 酝酿二十年来最大许可证变革:全面切换至 3-clause BSD License
· 05/08 15:40
2 评论
删除一条评论

评论删除后,数据将无法恢复

取消
确定
返回顶部
顶部