文 | 白开水不加糖

出品 | OSC开源社区（ID：oschina2013）

• 在日志记录配置的 PatternLayout 中，用 Thread Context Map 模式（%X、%mdc 或 %MDC）替换 ${ctx:loginId} 或 $${ctx:loginId} 等 Context Lookups。
• 否则，在配置中删除对 ${ctx:loginId} 或 ${ctx:loginId} 等 Context Lookups 的引用；它们源自应用程序外部的源，如 HTTP headers 或 user input.。

• 修复字符串替换递归。修复 LOG4J2-3230
• 将 JNDI 仅限于 java 协议。默认情况下，JNDI 将保持禁用状态。将 JNDI 启用属性从“log4j2.enableJndi”重命名为“log4j2.enableJndiLookup”、“log4j2.enableJndiJms”和“log4j2.enableJndiContextSelector”。修复 LOG4J2-3242
• JNDI 仅限于 java 协议。默认情况下，JNDI 将保持禁用状态。启用属性已重命名为“log4j2.enableJndiJava”。修复 LOG4J2-3242
• 不要将 log4j-api-java9 和 log4j-core-java9 声明为依赖项，因为这会导致 Maven enforcer 插件出现问题。修复 LOG4J2-3241
• 解析属性文件过滤器时的 PropertiesConfiguration.parseAppenderFilters NPE。修复 LOG4J2-3247
• Syslog Appender 的 Log4j 1.2 bridge 默认为端口 512 而不是 514。修复 LOG4J2-3249
• Log4j 1.2 bridge API 将 Syslog 协议硬编码为 TCP。修复 LOG4J2-3237

炸锅了！Apache Log4j2 核弹级漏洞公开

Log4j2维护者吐槽没工资还要挨骂，GO安全负责人建议开源作者向公司收费

专家称 log4shell 漏洞将持续“数月甚至数年”