首页  软件  游戏  图书  电影  电视剧

请输入您要查询的软件:

 

软件 Apache Log4j 2.17.0/2.12.2 官方最新版(CVE-2021-45105漏洞) 
内容

Log4j 是一个日志记录框架,Log4j 2 是对 Log4j 的升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。

Apache Log4j 2.16.0/2.12.2 现已可用。但Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务(Denial of Service,DoS)漏洞。Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。

由于 SLF4J 绑定中的兼容性中断,Log4j 现在发布两个版本的 SLF4J 到 Log4j 的适配器。log4j-slf4j-impl对应 SLF4J 1.7.x 及更早版本; log4j-slf4j18-impl对应SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前还不完全支持。

介绍说明

上周一释出的Apache Log4j 2.16.0版是为了修补早先发现的漏洞。

该漏洞被列为CVE-2021-45046,允许攻击者输入Log4j2 ThreadContext Map(MDC)资料时、使用非预设的Patten Layout改造成恶意查询输入。

2.16.0还释出不到一周,又被安全研究人员揭露有新漏洞,且是新的DoS漏洞。

新漏洞编号CVE-2021-45105,Apache说明在具有Thread Context Map查询的变项中,以StrSubstitutor class${${::-${::-$${::-j}}}}代入,造成无限递迴(infinite recursion),引发应用程式当掉。

Log4j 2.17 更新介绍

2.17.0 版本的具体更新内容包括有:
修复字符串替换递归。修复 LOG4J2-3230
将 JNDI 仅限于 java 协议。默认情况下,JNDI 将保持禁用状态。将 JNDI 启用属性从“log4j2.enableJndi”重命名为“log4j2.enableJndiLookup”、“log4j2.enableJndiJms”和“log4j2.enableJndiContextSelector”。修复 LOG4J2-3242
JNDI 仅限于 java 协议。默认情况下,JNDI 将保持禁用状态。启用属性已重命名为“log4j2.enableJndiJava”。修复 LOG4J2-3242
不要将 log4j-api-java9 和 log4j-core-java9 声明为依赖项,因为这会导致 Maven enforcer 插件出现问题。修复 LOG4J2-3241
解析属性文件过滤器时的 PropertiesConfiguration.parseAppenderFilters NPE。修复 LOG4J2-3247
Syslog Appender 的 Log4j 1.2 bridge 默认为端口 512 而不是 514。修复 LOG4J2-3249
Log4j 1.2 bridge API 将 Syslog 协议硬编码为 TCP。修复 LOG4J2-3237
标签 Log4j2,2.16,log4j,Apache
缩略图
软件名称 Apache Log4j 2.17.0/2.12.2 官方最新版(CVE-2021-45105漏洞)
软件图标
软件大小 81.6MB
发布时间
软件平台
软件语言 英文软件
软件授权 免费软件
操作系统 Windows平台
系统类型
用户评分 4
软件版本
官方网站
官方网址
软件截图
软件总类 电脑游戏
软件大类 软件下载-应用软件-编程开发-java相关-log4j 2漏洞修复下载
软件小类 java相关
开发者
主办单位名称
ICP备案名
备案号
使用年龄
下载链接
攻略教程
详细介绍
操控设备
隐私政策
查看权限
敏感权限获取说明
软件类型 国外软件
安全警示 适度休息有益身心健康,请勿长期沉迷于使用电脑或刷手机。
随便看

 

传承兰台文化,共同保存历史记忆!兰台网收藏软件、游戏、图片、图书、电影、电视剧等互联网档案,是免费和可借阅文本、电影、音乐等档案的数字图书馆。

 

Copyright © 2004-2025 xlantai.com All Rights Reserved
更新时间:2025/5/11 19:26:24