Apache Log4j 2.16.0 zum Download verfügbar, JNDI ist jetzt standardmäßig deaktiviert
1 Minute. lesen
Veröffentlicht am
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Das Apache Log4j 2-Team hat heute Log4j 2.16.0 mit zwei wesentlichen Änderungen veröffentlicht.
- Um CVE-2021-44228 zu verhindern, wurde die Nachrichtensuchfunktion in dieser Version entfernt.
- In der vorherigen Version 2.15.0 wurde die Möglichkeit zum Auflösen von Suchvorgängen und Protokollnachrichten entfernt. Wenn JNDI jedoch standardmäßig aktiviert ist, werden Benutzer einem Risiko ausgesetzt. Bei Version 2.16.0 ist die JNDI-Funktion standardmäßig deaktiviert. Benutzer, die diese Funktion benötigen, können diese Funktion mithilfe der Systemeigenschaft log4j2.enablejndi aktivieren.
Dank der Apache Logging Services Project Management Committee (PMC) für die Arbeit rund um die Uhr, um die Veröffentlichung so schnell herauszubringen. Dies wird Tausenden von Organisationen helfen, sich vor externen Angriffen auf ihre Apache-Server zu schützen.
Quelle: Apache