Apache Log4j 2.16.0がダウンロード可能になり、JNDIがデフォルトで無効になりました
1分。 読んだ
上で公開
読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
Apache Log4j 2チームは本日、4つの大きな変更を加えたLog2.16.0jXNUMXをリリースしました。
- CVE-2021-44228を防ぐために、このリリースではメッセージルックアップ機能が削除されています。
- 以前の2.15.0リリースでは、ルックアップとログメッセージを解決する機能が削除されました。 ただし、デフォルトでJNDIを有効にすると、ユーザーが危険にさらされます。 2.16.0リリースでは、JNDI機能はデフォルトで無効になっています。 この機能が必要なユーザーは、log4j2.enablejndiシステムプロパティを使用してこの機能を有効にできます。
おかげ アパッチ ロギングサービスプロジェクト管理委員会(PMC)は、リリースを迅速にリリースするためにXNUMX時間体制で取り組んでいます。 これは、何千もの組織がApacheサーバーへの外部攻撃から身を守るのに役立ちます。
情報源: アパッチ