새로고침 4j

새로고침 4j
원저작자	QOS.CH 사르(스위스)
안정된 릴리스	1.2.20 / 2022년 4월 5일; 2022년 5월 17일
저장소	github.com/qos-ch/reload4j
기입처	자바
유형	로깅
웹 사이트	reload4j.qos.ch

Reload4j는^[1] log4j 1.x의 원저자인 Ceki Gülcü에 의해 작성되었습니다.Reload4j는 log4j 버전 1.2.17의 포크입니다.이 경우 동일한 Java 패키지 이름 공간을 유지합니다.org.apache.log4j그러나 상표 보호를 위해 Apache Maven Central의 "ch.qos.reload4j" groupId로^[2] 게시됩니다.따라서 log4j의 ^[3]^[4]^[5]^[6]^[7]드롭인 대체로 간주할 수 있습니다.

reload4j 프로젝트의 목적은 log4j 1.x 보안 ^[9]문제를 수정하려는 사용자에게 매우 쉬운 이행^[8] 경로를 제공하는 것입니다.많은 기업에 있어서,^[10] 이것은 FTC의 요건입니다.프로젝트가 Apache Software Foundation에 의해^[11] EOL로 선언되었기 때문에 log4j 1.x의 최신 버전으로 업그레이드할 수 없습니다.이 결정은 2022년에^[12] 재확인되었고 몇몇 ^[13]^[14]^[15]자원봉사자들의 최선의 노력에도 불구하고 철회될 수 없었다.대신 Log4j2 팀은 이해할 수 없을 정도로 교착상태나 다른 문제를 해결할 수 없다고 주장합니다.또한 log4j ^[12]2.x로 업그레이드하는 것이 유일한 안전한 방법이라고 주장합니다.Log4j 2.x는 API와 구성 스타일이 상당히 다릅니다.일부 사용자는 이점을 알고 있지만 reload4j의 적절성과 포크의 필요성은 ^[16]논란의 대상이다.

mvnrepository.^[17]com에 따르면 2022년 5월 17일 현재 이미 122개 프로젝트가 4j, 124개 프로젝트가 slf4j-4004j로 이행되었으며, 그 중 ActiveMQ, Eclipse, Kafka,^[18] MyBatis, WildFly 등의 명망 있는 프로젝트가 있습니다.

취약성 수정

Reload4j는 다음과 같이 알려진 모든 CVE(일반 취약성 및 노출) log4j 1.x를 수정합니다.

CVE-2021-4104^[19]
CVE-2019-1751^[20]
CVE-2022-23302(SQL 주입 취약성)JDBCAppender)
CVE-2020-9493 일명 CVE-2022-23307
CVE-2020-9488 버전 1.2.18.3에서는 log4j 1.x에 대해 보고된 모든 CVE가 수정되었습니다.log4j 2.x에 비해 reload4j의 표면적이 훨씬 작기 때문에 새로운 CVE가 검출될 가능성은 낮아집니다.

log4j 1.x가 메시지 내에서 변수 검색을 수행하지 않았으므로 log4j 1.x는 Log4의 영향을 받지 않았습니다.Shell(CVE-2021-44228)은 Log4J 2.x에 영향을 주는 제로 데이 리모트코드 실행 취약성입니다.

첫 출시 및 기능

reload4j 버전 1.2.18.0은 2022년 1월 12일에 출시되어 일반인이 ^[21]사용할 수 있습니다.

reload4j 1.2.18은 log4j 1.2.17과 관련하여 새로운 기능을 추가하지 않지만 향후 버전에서는 하위 호환성이 있는 성능 향상을 제공할 예정입니다.

1.2.18.5부터는 모든 reload4j 릴리즈를 재현할 수 있습니다.즉, 소스에서 빌드하면 게시된 바이너리와 동일한 비트 단위로 결과가 생성됩니다.

버전 1.2.20에서는 중요한 실행 경로에서 성능 관련 문제가 해결되었습니다.reload4j의 향후 릴리즈에서는 퍼포먼스가 더욱 향상될 것으로 예상됩니다.

버전 1.2.21에서는 이전 버전의 reload4j와 slf4j-log4j12 간의 바이너리 호환성 문제가 수정되었습니다.reload4j의 우선 SLF4J 어댑터로 slf4j-reload4j를 사용하는 것이 권장되지만 버전 1.2.21+에서는 필요에 따라 임의의 버전의 slf4j-log4j12를 자유롭게 혼재시킬 수 있습니다.

slf4j-4j 모듈

reload4j의 첫 번째 릴리스 이후 SLF4J 프로젝트는 slf4j-reload4j ^[23]모듈을 통해 reload4j를 직접 지원하는 SLF4J 버전 1.7.33을^[22] 출시했습니다.

버전 1.7.35 이후 SLF4Jslf4j-log4j12에 의해 대체되었습니다.slf4j-reload4j. Maven 재배치 속성으로 인해 참조는slf4j-log4j12/가 자동으로 리다이렉트 됩니다.slf4j-reload4j.

레퍼런스

^ "reload4j". reload4j.qos.ch. Retrieved 2022-01-14.
^ "Maven – Guide to Naming Conventions". maven.apache.org. Retrieved 2022-01-14.
^ Elschner, Michaela. "log4j 1.x: reload4j for the rescue!". www.linkedin.com. Retrieved 2022-02-14.
^ "Axon Ivy platform migrating to reload4j". Twitter. Retrieved 2022-02-17.
^ Grigg, Kadi. "Wicked Good Development - Episode 1". blog.sonatype.com. Retrieved 2022-02-16.
^ Sohn, Matthias. "[cross-project-issues-dev] reload4j 1.2.18 fixing pressing issues of log". www.eclipse.org. Retrieved 2022-02-16.
^ Onofré, Jean-Baptiste. "Apache ActiveMQ 5.16.4, reload4j and more". Apache ActiveMQ 5.16.4, reload4j and more. Retrieved 2022-02-16.
^ "Vulnerabilities in Log4j - Continued". Field Effect Software Inc. Retrieved 2022-01-29.
^ "SLF4J". www.slf4j.org. Retrieved 2022-01-16.
^ "FTC warns companies to remediate Log4j security vulnerability". Federal Trade Commission. 2022-01-04. Retrieved 2022-01-14.
^ "Apache™ Logging Services™ Project Announces Log4j™ 1 End-Of-Life; Recommends Upgrade to Log4j 2". Apache Logging Services.
^ ^a ^b Ron, Grabowski (2022-01-06). "Log4j 1 End-of-Life Statement". lists.apache.org. Apache Logging Services.{{cite web}}: CS1 maint :url-status (링크)
^ "Looking for a champion: resurrect log4j 1.x".{{cite web}}: CS1 maint :url-status (링크)
^ "[DISCUSS][VOTE] Future of Log4j 1.x". lists.apache.org. Retrieved 2022-01-14.{{cite web}}: CS1 maint :url-status (링크)
^ "standardizing the Maven build". lists.apache.org. Retrieved 2022-01-14.{{cite web}}: CS1 maint :url-status (링크)
^ hugith (2022-01-17). "Reload4j. A drop-in replacement for log4j 1.2.17 (with the security issues fixed)". r/java. Retrieved 2022-01-17.
^ "Maven Repository: reload4j". mvnrepository.com. Retrieved 2022-02-21.
^ "Apache Kafka (3.2.0 release notes)". Apache Kafka. Retrieved 2022-05-18.
^ CVE.report; CVE. "CVE-2021-4104". CVE.report. Retrieved 2022-01-14.
^ CVE.report; CVE. "CVE-2019-17571". CVE.report. Retrieved 2022-01-14.
^ "Central Repository: ch/qos/reload4j/reload4j". repo.maven.apache.org. Retrieved 2022-01-14.
^ SLF4J.ORG (2022-01-13). "Release of version 1.7.33". SLF4J. SLF4J.ORG.
^ "Reload4jLoggerAdapter (SLF4J 2.0.0-alpha6 API)". www.slf4j.org. Retrieved 2022-01-14.

[1] "reload4j". reload4j.qos.ch. Retrieved 2022-01-14.

[2] "Maven – Guide to Naming Conventions". maven.apache.org. Retrieved 2022-01-14.

[3] Elschner, Michaela. "log4j 1.x: reload4j for the rescue!". www.linkedin.com. Retrieved 2022-02-14.

[4] "Axon Ivy platform migrating to reload4j". Twitter. Retrieved 2022-02-17.

[5] Grigg, Kadi. "Wicked Good Development - Episode 1". blog.sonatype.com. Retrieved 2022-02-16.

[6] Sohn, Matthias. "[cross-project-issues-dev] reload4j 1.2.18 fixing pressing issues of log". www.eclipse.org. Retrieved 2022-02-16.

[7] Onofré, Jean-Baptiste. "Apache ActiveMQ 5.16.4, reload4j and more". Apache ActiveMQ 5.16.4, reload4j and more. Retrieved 2022-02-16.

[8] "Vulnerabilities in Log4j - Continued". Field Effect Software Inc. Retrieved 2022-01-29.

[9] "SLF4J". www.slf4j.org. Retrieved 2022-01-16.

[10] "FTC warns companies to remediate Log4j security vulnerability". Federal Trade Commission. 2022-01-04. Retrieved 2022-01-14.

[11] "Apache™ Logging Services™ Project Announces Log4j™ 1 End-Of-Life; Recommends Upgrade to Log4j 2". Apache Logging Services.

[:0-12] Ron, Grabowski (2022-01-06). "Log4j 1 End-of-Life Statement". lists.apache.org. Apache Logging Services.{{cite web}}: CS1 maint :url-status (링크)

[13] "Looking for a champion: resurrect log4j 1.x".{{cite web}}: CS1 maint :url-status (링크)

[14] "[DISCUSS][VOTE] Future of Log4j 1.x". lists.apache.org. Retrieved 2022-01-14.{{cite web}}: CS1 maint :url-status (링크)

[15] "standardizing the Maven build". lists.apache.org. Retrieved 2022-01-14.{{cite web}}: CS1 maint :url-status (링크)

[16] ugith (2022-01-17). "Reload4j. A drop-in replacement for log4j 1.2.17 (with the security issues fixed)". r/java. Retrieved 2022-01-17.

[17] "Maven Repository: reload4j". mvnrepository.com. Retrieved 2022-02-21.

[18] "Apache Kafka (3.2.0 release notes)". Apache Kafka. Retrieved 2022-05-18.

[19] CVE.report; CVE. "CVE-2021-4104". CVE.report. Retrieved 2022-01-14.

[20] CVE.report; CVE. "CVE-2019-17571". CVE.report. Retrieved 2022-01-14.

[21] "Central Repository: ch/qos/reload4j/reload4j". repo.maven.apache.org. Retrieved 2022-01-14.

[22] SLF4J.ORG (2022-01-13). "Release of version 1.7.33". SLF4J. SLF4J.ORG.

[23] "Reload4jLoggerAdapter (SLF4J 2.0.0-alpha6 API)". www.slf4j.org. Retrieved 2022-01-14.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[9]

[8]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[23]

[22]

Search

새로고침 4j

네임스페이스

더

목차

취약성 수정

첫 출시 및 기능

slf4j-4j 모듈

레퍼런스