Apache Log4j 2.16.0 disponible au téléchargement, JNDI est maintenant désactivé par défaut
1 minute. lis
Publié le
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
L'équipe Apache Log4j 2 a publié aujourd'hui Log4j 2.16.0 avec deux modifications majeures.
- Pour empêcher CVE-2021-44228, la fonctionnalité de recherche de messages est supprimée dans cette version.
- Dans la version 2.15.0 précédente, la possibilité de résoudre les recherches et les messages de journal a été supprimée. Mais avoir JNDI activé par défaut mettra les utilisateurs en danger. Avec la version 2.16.0, la fonctionnalité JNDI est désactivée par défaut. Les utilisateurs qui ont besoin de cette fonctionnalité peuvent l'activer à l'aide de la propriété système log4j2.enablejndi.
Grace à Apache Logging Services Project Management Committee (PMC) pour avoir travaillé XNUMX heures sur XNUMX pour publier la version si rapidement. Cela aidera des milliers d'organisations à se protéger des attaques externes sur leurs serveurs Apache.
La source: Apache