Apache Log4j 2.16.0 可供下载,JNDI 现在默认禁用

Apache Log4j 2.16.0 可供下载,JNDI 现在默认禁用Apache Log4j 2 团队今天发布了 Log4j 2.16.0,其中有两个重大变化。

  • 为防止 CVE-2021-44228,此版本中删除了消息查找功能。
  • 在之前的 2.15.0 版本中,删除了解析查找和日志消息的功能。但是默认启用 JNDI 会使用户面临风险。在 2.16.0 版本中,默认情况下禁用 JNDI 功能。需要此功能的用户可以使用 log4j2.enablejndi 系统属性启用此功能。

感谢Apache日志服务项目管理委员会 (PMC) 全天候工作以如此快地发布版本。这将帮助数以千计的组织保护自己免受对其 Apache 服务器的外部攻击。

正文完
 0