如何避免Log4J漏洞？

"唯一防止查找引起的漏洞的方法是完全禁用它们。根据log4j2团队的说法，实现这个目标的方法是附加Java参数。"

-Dlog4j2.formatMsgNoLookups=true

这个修复方案可以通过在用户输入中添加${...}序列来调用查询（例如记录URL中的查询），但需要注意的是，即使您使用参数或记录异常堆栈，查询也会应用于记录序列。代码中的查询序列不危险，因为它们是可控的，但来自用户的查询则是不可预测的。如果记录“错误的用户名：xxx”，您不知道用户可以输入什么来利用其他漏洞。
然而，您无法确定框架中是否存在其他严重错误，因此切换到其他日志框架是合理的选择。一个很好的选择是Logback，它由Log4j的原始作者启动。开发人员明确表示，他的框架与Log4j2引入的安全问题无关：

除非另有说明，我们说log4j时指的是log4j 1.x。我们还应强调，logback与log4j 2.x无关。它不共享代码，也没有log4j 2.x的漏洞。

这个漏洞显然已经修复在2.16.0版本中，但它只解决了那个特定的漏洞，危险的查找功能并没有被删除。

根据Sophos报告，

Log4j的更新版本仍支持潜在危险的字符串“查找”系统，但是默认情况下不再启用基于网络的JNDI连接，无论是在同一台机器上还是连接到其他地方。

换句话说，log4j2仍然不安全，但比以前不那么荒谬的不安全。

针对此类安全问题，将最新的信息集中在一个地方是有意义的。
请参阅官方Log4j关于此漏洞的信息：https://logging.apache.org/log4j/2.x/security.html 该文档列出了适用于不同版本Log4j的几种缓解措施。
我知道通常在StackOverflow上的做法是在答案中提供明确的步骤和示例，而不是链接到外部文档，但我相信敏感的安全漏洞应该是个例外。