Orbeon CE Log4j
Posted
技术标签:
【中文标题】Orbeon CE Log4j【英文标题】: 【发布时间】:2022-01-22 11:22:08 【问题描述】:是否有计划将 Orbeon CE 日志更新到 log4j 2.17,如果是,何时更新?
我们知道当前的 log4j 1.X 版本不易受到最近漏洞的影响,但其他漏洞仍然存在。
【问题讨论】:
【参考方案1】:Orbeon Forms 2021.1 CE 即将推出,将包括 Log4j 2.17(如果他们在接下来的几天内发布另一个版本,则为更新版本)。
影响 Log4j 1.x 的漏洞会影响诸如 SocketAppender 和 SMTP 之类的东西。我们现在建议您不要在 log4j.xml 中对 Log4j 使用任何网络功能。只需使用普通的日志记录到文件。如果你这样做了,那么你使用 Log4j 1.x 是非常安全的,并且可能比使用显然不断发现漏洞的任何版本的 Log4j 2 更安全:(
我们尚未决定是否会发布针对早期 CE 版本的修复程序,因为这些问题可以完全通过配置解决。
【讨论】:
以上是关于Orbeon CE Log4j的主要内容,如果未能解决你的问题,请参考以下文章
Orbeon Forms - 防止表单生成器覆盖表单中的模板
Orbeon JavaScript 嵌入错误:`ORBEON.xforms.server.AjaxServer.Event 不是构造函数`