This week's Java roundup for March 30th, 2026, features news highlighting: the GA release of TornadoVM 4.0 and Google ADK for Java 1.0; first release candidates of Grails and Gradle; maintenance...

Apache Log4j2 存在远程代码执行漏洞，攻击者可通过 JNDI 注入发起特殊请求，影响版本为 2.x < 2.15.0。建议升级至 2.15.0 及以上版本，以启用 lookup 开关和白名单机制防止利用。

本文介绍了对IP地址10.10.11.138进行端口扫描和漏洞利用的过程。使用nmap和masscan工具发现开放端口22和80，分析了Apache和Tomcat的安全问题。通过Log4j漏洞实现特权提升，获取环境变量中的用户名和密码，最终成功访问FTP服务。

作者分享了在Spring Boot中用Gradle配置Log4j的经验。首先，在`build.gradle`中排除默认日志模块并添加Log4j依赖。接着，在`src/main/resources`创建`log4j2.xml`文件，配置日志格式和输出。最后，通过Log4j记录器测试配置。适用于Java 17。

作者开发了一个Log4J附加器，用于将应用日志集成到AWS CloudWatch，适用于EC2实例。项目已发布在Maven Central，用户可通过添加依赖和配置Log4J使用。建议谨慎设置日志级别，避免DEBUG级别日志。详情和反馈可在GitHub查看。作者计划开发Kinesis Firehose附加器。

日志语言只需要两个级别：INFO和ERROR。INFO提供上下文，ERROR提醒开发人员注意问题。增强日志的最佳实践包括附加请求或跟踪ID、时间戳、记录审计信息等。日志记录一致性很重要，不要在修复漏洞时添加删除日志。log4j等现代日志框架只需要阐明上下文和突出问题所在。

Cloudflare Radar 2023年度回顾试图通过趋势图和汇总统计提供动态的互联网快照，提供有关互联网安全的独特视角，以及这些领域的关键指标在世界各地的差异。

Log4j2是Java应用程序的高性能日志记录框架，但存在漏洞CVE-2021-44228，允许攻击者通过JNDI注入远程执行代码。修复方法包括升级Log4j和配置防火墙策略。

主权技术基金投资596,160.00欧元支持Apache Log4j的持续开发，改进发布管道、提高安全性和稳定性。Log4j团队已开始实施发布管道和对代码库进行现代化改造。主权技术基金致力于增强Log4j的安全性、可靠性和长期可持续性。

大约38%的应用程序使用存在安全问题的Apache Log4j库版本，包括Log4Shell漏洞。研究人员发现该漏洞已有两年多修补程序，但仍有大量组织未更新。安全研究专家建议企业及时扫描网络环境，制定紧急升级计划。

本文介绍了Log4J漏洞对公共云环境的安全风险，攻击者可以从EC2实例中提取临时会话凭证并进一步攻击AWS资源。适用于AWS、GCP和Azure环境。

最近一个Java系统上线后不久就收到了磁盘使用率告警，磁盘使用率超过了90%以上，并且还在不停增长。服务器磁盘被打满，导致系统的业务日志无法继续打印，严重影响系统的可靠性。最终发现是一个第三方jar包内的log4j配置文件导致的问题，通过排除该jar包解决了问题。提醒以后引入第三方jar包时要检查依赖范围，避免冲突和其他影响。对外提供第三方jar包时不要包含调试代码和日志配置测试文件。

美国网络安全与基础设施安全局（CISA）发布了2022年最常被利用的漏洞报告，其中提到了Log4J和Atlassian Confluence代码注入漏洞。根据Cloudflare的分析，这两个漏洞负责大部分野外攻击流量。其他漏洞包括ProxyShell Microsoft Exchange服务器、BIG-IP F5的未公开请求绕过身份验证漏洞、以及VMware的远程Root漏洞。

本文将详细举例说明每一种日志的具体用法,以及他们之间的关系. 最后再统一阐述了slf4j 的概念以及其常见的实现的特性. 最后总结这些框架的特点,以及注意事项. 源代码: https://github.com/jianhong-li/java-log-explore ,欢迎star , 欢迎fork.

Detected both log4j-over-slf4j.jar AND bound slf4j-log4j12.jar on the class path 此冲突是由于此两包不兼容,不能同时存在. 原因是 log4j-over-slf4j.jar 只是一个桥接包. 而 bound (粘合)的slf4j-log4j12.jar...