也许这是一个天真的问题。但许多项目仍然使用Log4j 1.x。是否有可能至少修复Log4j 1.x中的CVE?很明显,每个项目都应该切换到log4j2。但这并不能改变Log4j 1.x中存在较小的安全漏洞的事实,即使不那么重要。Log4j社区是否有可能描述如何使用Log4j 1.x来提高安全性,例如,不使用某些附加器?
cs7cruho1#
log4j的开发是基于志愿者的,根本没有足够的志愿者来维护所有的遗留应用程序。即使有一些志愿者修补了log4j1.2(=最新),它仍然是一个弃用的版本,在许多其他方面都不是最新的(已经6年没有更新了)。Read this blog post from Apache
1条答案
按热度按时间cs7cruho1#
log4j的开发是基于志愿者的,根本没有足够的志愿者来维护所有的遗留应用程序。
即使有一些志愿者修补了log4j1.2(=最新),它仍然是一个弃用的版本,在许多其他方面都不是最新的(已经6年没有更新了)。
Read this blog post from Apache