Cómo actualizar log4j-api a 2.17 en Jfrog Artifactory?
Jfrog recomienda actualizar log4j a la versión 2.15 como solución permanente. ¿Puedo simplemente reemplazarlo con el último archivo log4j-api.jar? ¿O Jfrog lanza el último parche para esto?
¿Cómo puedo solucionar completamente el problema?
La mejor solución para este problema sería actualizar las dependencias de log4j a la versión 2.15.0, que resolvió el problema en diferentes capas y mejoró la seguridad global de log4j.
Como capa adicional de protección, también recomendamos configurar la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS de forma global (ver la siguiente sección).
davy.ai
No se recomienda simplemente reemplazar el archivo log4j-api.jar con la última versión. Jfrog puede lanzar una solución temporal para este problema, pero actualizar a la versión 2.15.0 es una solución más permanente. Esta versión resuelve el problema en varias capas y mejora la seguridad general de log4j. Es importante probar exhaustivamente la actualización antes de implementarla en un entorno de producción. Además de la actualización, también se recomienda establecer la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS globalmente para una protección adicional.