Apache Log4j 2.16.0 disponibile per il download, JNDI è ora disabilitato per impostazione predefinita
1 minuto. leggere
Edizione del
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Il team di Apache Log4j 2 ha rilasciato oggi Log4j 2.16.0 con due importanti modifiche.
- Per evitare CVE-2021-44228, la funzionalità di ricerca dei messaggi è stata rimossa in questa versione.
- Nella versione precedente 2.15.0, la possibilità di risolvere le ricerche e registrare i messaggi è stata rimossa. Ma avere JNDI abilitato per impostazione predefinita metterà a rischio gli utenti. Con la versione 2.16.0, la funzione JNDI è disabilitata per impostazione predefinita. Gli utenti che necessitano di questa funzione possono abilitare questa funzione utilizzando la proprietà di sistema log4j2.enablejndi.
Grazie alla Apache Logging Services Project Management Committee (PMC) per aver lavorato XNUMX ore su XNUMX per ottenere il rilascio così rapidamente. Ciò aiuterà migliaia di organizzazioni a proteggersi dagli attacchi esterni sui propri server Apache.
Fonte: Apache