log4j 1.x的任何版本都不是安全的。它的生命周期已经结束，并且存在尚未修补的漏洞。对于log 4 2.x，最好的建议是使用最新的版本。
在写这篇文章的时候（2021-03-14），https://logging.apache.org/log4j/2.x/security.html说如果你在Java 6 JVM上运行log4j 2.3.2是安全的。但是如果你打算在更新的JVM上运行，最新的安全补丁是可取的。
请参阅https://www.petefreitag.com/item/926.cfm，以取得最近log4j 1.x和2.x弱点及其修复程序状态的清单。
我想将log4j库用于使用Java 6创建的Web应用程序。
从安全Angular 来看，您的Web应用程序“创建时所使用的”Java版本无关紧要。但是，您不应该使用Java 6或Java 7来运行您的应用程序。它们都是生命周期结束的版本，并且您只能根据（付费）维护合同获得安全补丁。
考虑到log4j或log4j 2的漏洞和安全问题，您建议使用它们吗？
建议使用Log4j 2。Log4j已停止使用，他们已停止发布官方安全补丁。

强烈建议使用log4j2而不是log4j。This page提供了有关log4j2安全性的信息。
Log4j2是一个广泛使用的库，得到了强大社区的支持。
但是，要确定某个库（如log4j2）对于特定应用程序是否足够安全，则取决于应用程序的安全要求。
考虑到log4j2的广泛使用，似乎大多数人认为它足够安全。
从理论上讲，最安全的方法是在最新的LTS Java版本中使用最新的log4j2版本，这样您的应用程序就可以利用所有已应用的安全改进。