Apache Log4j 2.16.0 disponible para descargar, JNDI ahora está deshabilitado de forma predeterminada
1 minuto. leer
Publicado el
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
El equipo de Apache Log4j 2 lanzó hoy Log4j 2.16.0 con dos cambios importantes.
- Para evitar CVE-2021-44228, la función de búsqueda de mensajes se eliminó en esta versión.
- En la versión anterior 2.15.0, se eliminó la capacidad de resolver búsquedas y registrar mensajes. Pero tener JNDI habilitado por defecto pondrá a los usuarios en riesgo. Con la versión 2.16.0, la función JNDI está desactivada de forma predeterminada. Los usuarios que necesitan esta función pueden habilitarla mediante la propiedad del sistema log4j2.enablejndi.
Gracias a la solución APACHE Comité de gestión de proyectos (PMC) de Logging Services por trabajar las XNUMX horas para publicar el lanzamiento tan rápido. Esto ayudará a miles de organizaciones a protegerse de ataques externos a sus servidores Apache.
Fuente: APACHE