Apache Log4j 2.16.0 dostępny do pobrania, JNDI jest teraz domyślnie wyłączone
1 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Zespół Apache Log4j 2 wydał dziś Log4j 2.16.0 z dwiema głównymi zmianami.
- Aby zapobiec CVE-2021-44228, funkcja wyszukiwania wiadomości została usunięta w tej wersji.
- W poprzedniej wersji 2.15.0 usunięto możliwość rozwiązywania wyszukiwań i komunikatów dziennika. Jednak domyślnie włączone JNDI naraża użytkowników na ryzyko. W wersji 2.16.0 funkcja JNDI jest domyślnie wyłączona. Użytkownicy, którzy potrzebują tej funkcji, mogą ją włączyć za pomocą właściwości systemowej log4j2.enablejndi.
Dzięki Apache Komitet zarządzania projektami usług rejestrowania (PMC) za całodobową pracę nad tak szybkim wydaniem wersji. Pomoże to tysiącom organizacji chronić się przed zewnętrznymi atakami na ich serwery Apache.
Źródło: Apache