Apache Log4j 2.12.2 发布

Apache Log4j 2.12.2 已发布。Log4j 是一个日志记录框架，Log4j 2 是对 Log4j 的升级，提供了重大改进，超越其前身 Log4j 1.x，并提供许多其它现代功能 ，例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。

下载地址：https://logging.apache.org/log4j/log4j-2.12.2/download.html

此版本的变化只针对 CVE-2021-44228 和 CVE-2021-45046 漏洞，适用于仍使用 Java 7 的开发者。

• 移除 PatternLayout 中的消息查找 (Message Lookups) 功能，"%m{lookup}", "%m{nolookup}" 及其变种仍可作为转换模式被接受，但不会产生影响
• 默认禁用 JNDI，且当启用时只允许 "java" 协议
• 使 JNDI 查找无法运行，并删除消息查找功能

由于 Log4j 2.12.2 的 API，以及许多核心组件，保持了与以前版本的二进制兼容性，推荐开发者升级至此版本。

最后，Apache Log4j 2.12.2 至少需要 Java 7 才能构建和运行。Apache Log4j 2.16.0 是最新的 Log4j 版本，鼓励用户升级至此版本，因为 Java 7 已经不再受 Log4j 团队的支持。