网站首页  软件下载  游戏下载  源码下载  词典软件  教程攻略

请输入您要查询的软件:

 

软件 Apache Log4j 2.17.0/2.12.2 官方最新版(CVE-2021-45105漏洞)
图标
分类 软件下载-应用软件-编程开发-java相关-log4j 2漏洞修复下载 java相关
语言 英文软件
大小 81.6MB
软件类型 国外软件
发布时间
用户评分 4
备案号
官方网址
软件授权 免费软件
操作系统 Windows平台
厂商
下载
介绍

Log4j 是一个日志记录框架,Log4j 2 是对 Log4j 的升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。

Apache Log4j 2.16.0/2.12.2 现已可用。但Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务(Denial of Service,DoS)漏洞。Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。

由于 SLF4J 绑定中的兼容性中断,Log4j 现在发布两个版本的 SLF4J 到 Log4j 的适配器。log4j-slf4j-impl对应 SLF4J 1.7.x 及更早版本; log4j-slf4j18-impl对应SLF4J 1.8.x 及更高版本一起使用。SLF4J-2.0.0 alpha 版本目前还不完全支持。

介绍说明

上周一释出的Apache Log4j 2.16.0版是为了修补早先发现的漏洞。

该漏洞被列为CVE-2021-45046,允许攻击者输入Log4j2 ThreadContext Map(MDC)资料时、使用非预设的Patten Layout改造成恶意查询输入。

2.16.0还释出不到一周,又被安全研究人员揭露有新漏洞,且是新的DoS漏洞。

新漏洞编号CVE-2021-45105,Apache说明在具有Thread Context Map查询的变项中,以StrSubstitutor class${${::-${::-$${::-j}}}}代入,造成无限递迴(infinite recursion),引发应用程式当掉。

Log4j 2.17 更新介绍

2.17.0 版本的具体更新内容包括有:
修复字符串替换递归。修复 LOG4J2-3230
将 JNDI 仅限于 java 协议。默认情况下,JNDI 将保持禁用状态。将 JNDI 启用属性从“log4j2.enableJndi”重命名为“log4j2.enableJndiLookup”、“log4j2.enableJndiJms”和“log4j2.enableJndiContextSelector”。修复 LOG4J2-3242
JNDI 仅限于 java 协议。默认情况下,JNDI 将保持禁用状态。启用属性已重命名为“log4j2.enableJndiJava”。修复 LOG4J2-3242
不要将 log4j-api-java9 和 log4j-core-java9 声明为依赖项,因为这会导致 Maven enforcer 插件出现问题。修复 LOG4J2-3241
解析属性文件过滤器时的 PropertiesConfiguration.parseAppenderFilters NPE。修复 LOG4J2-3247
Syslog Appender 的 Log4j 1.2 bridge 默认为端口 512 而不是 514。修复 LOG4J2-3249
Log4j 1.2 bridge API 将 Syslog 协议硬编码为 TCP。修复 LOG4J2-3237
截图
随便看

 

网盟-旗舰软件下载站,将绿色免费商业版破解软件、共享软件、游戏、电影、电视剧一网打尽!

 

Copyright © 2002-2024 cnnbu.com All Rights Reserved
更新时间:2025/4/7 12:30:43