问我将使用log4j版本2.3.2。对我来说安全吗？

EN

没有一个版本的log4j 1.x是安全的。这是生命的终结，也存在一些尚未修补的漏洞。对于log4 2.x，最好的建议是使用最新版本。

在编写这篇文章时(2021-03-14)，https://logging.apache.org/log4j/2.x/security.html说如果您正在Java6JVM上运行代码log4j 2.3.2，则log4j 2.3.2是安全的。但是，如果您打算在更新的JVM上运行，则最好使用最新的安全修补程序。

有关最近的https://www.petefreitag.com/item/926.cfm 1.x和2.x漏洞及其修补程序状态的列表，请参见log4j。

我想要使用log4j库为我的web应用程序，是创建了Java6。

从安全的角度来看，您的was应用程序“使用”的Java版本与此无关。但是，您不应该使用Java6或Java7来运行您的应用程序。他们都是终身制的，你只能根据(付费的)维护合同获得安全补丁。

考虑到log4j或log4j2的漏洞和安全问题，您推荐它们吗？

推荐使用Log4j2。Log4j已经结束了，他们已经停止发布官方的安全补丁。

强烈建议使用log4j2而不是log4j。此页提供有关log4j2安全性的信息。

Log4j2是一个由强大的社区支持的广泛使用的库。

但是，确定库(如log4j2 )对特定应用程序是否足够安全取决于应用程序的安全性要求。

考虑到log4j2的广泛使用，似乎大多数人都认为它足够安全。

从理论上讲，最安全的方法是在最新的LTS版本中使用最新的log4j2版本，这样您的应用程序就可以利用所有应用的安全改进。