Log4j 是一個(gè)日志記錄框架，Log4j 2 是對(duì) Log4j 的升級(jí)，提供了重大改進(jìn)，超越其前身 Log4j 1.x，并提供許多其它現(xiàn)代功能 ，例如對(duì)標(biāo)記的支持、使用查找的屬性替換、lambda 表達(dá)式與日志記錄時(shí)無垃圾等。

Apache Log4j 2.16.0/2.12.2 現(xiàn)已可用。但Apache軟體基金會(huì)又釋出了Log4j 2.17.0版來修補(bǔ)新的阻斷服務(wù)（Denial of Service，DoS）漏洞。Log4j 團(tuán)隊(duì)已獲悉一個(gè)安全漏洞 CVE-2021-45105，該漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解決。

由于 SLF4J 綁定中的兼容性中斷，Log4j 現(xiàn)在發(fā)布兩個(gè)版本的 SLF4J 到 Log4j 的適配器。log4j-slf4j-impl對(duì)應(yīng) SLF4J 1.7.x 及更早版本； log4j-slf4j18-impl對(duì)應(yīng)SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前還不完全支持。

介紹說明

上周一釋出的Apache Log4j 2.16.0版是為了修補(bǔ)早先發(fā)現(xiàn)的漏洞。

該漏洞被列為CVE-2021-45046，允許攻擊者輸入Log4j2 ThreadContext Map（MDC）資料時(shí)、使用非預(yù)設(shè)的Patten Layout改造成惡意查詢輸入。

2.16.0還釋出不到一周，又被安全研究人員揭露有新漏洞，且是新的DoS漏洞。

新漏洞編號(hào)CVE-2021-45105，Apache說明在具有Thread Context Map查詢的變項(xiàng)中，以StrSubstitutor class${${::-${::-$${::-j}}}}代入，造成無限遞迴（infinite recursion），引發(fā)應(yīng)用程式當(dāng)?shù)簟?/p>

Log4j 2.17 更新介紹

2.17.0 版本的具體更新內(nèi)容包括有：
修復(fù)字符串替換遞歸。修復(fù) LOG4J2-3230
將 JNDI 僅限于 java 協(xié)議。默認(rèn)情況下，JNDI 將保持禁用狀態(tài)。將 JNDI 啟用屬性從“log4j2.enableJndi”重命名為“log4j2.enableJndiLookup”、“log4j2.enableJndiJms”和“log4j2.enableJndiContextSelector”。修復(fù) LOG4J2-3242
JNDI 僅限于 java 協(xié)議。默認(rèn)情況下，JNDI 將保持禁用狀態(tài)。啟用屬性已重命名為“log4j2.enableJndiJava”。修復(fù) LOG4J2-3242
不要將 log4j-api-java9 和 log4j-core-java9 聲明為依賴項(xiàng)，因?yàn)檫@會(huì)導(dǎo)致 Maven enforcer 插件出現(xiàn)問題。修復(fù) LOG4J2-3241
解析屬性文件過濾器時(shí)的 PropertiesConfiguration.parseAppenderFilters NPE。修復(fù) LOG4J2-3247
Syslog Appender 的 Log4j 1.2 bridge 默認(rèn)為端口 512 而不是 514。修復(fù) LOG4J2-3249
Log4j 1.2 bridge API 將 Syslog 協(xié)議硬編碼為 TCP。修復(fù) LOG4J2-3237