Apache Log4j 2.16.0 доступний для завантаження, JNDI тепер вимкнено за замовчуванням
1 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Сьогодні команда Apache Log4j 2 випустила Log4j 2.16.0 з двома основними змінами.
- Щоб запобігти CVE-2021-44228, у цьому випуску вилучено функцію пошуку повідомлень.
- У попередній версії 2.15.0 можливість вирішувати пошуки та повідомлення журналу було вилучено. Але якщо JNDI увімкнено за замовчуванням, користувачі піддаються ризику. У випуску 2.16.0 функція JNDI вимкнена за замовчуванням. Користувачі, яким потрібна ця функція, можуть увімкнути цю функцію за допомогою системної властивості log4j2.enablejndi.
Завдяки Apache Комітет з управління проектами Logging Services (PMC) для цілодобової роботи, щоб отримати реліз так швидко. Це допоможе тисячам організацій захистити себе від зовнішніх атак на їхні сервери Apache.
джерело: Apache