Apache Log4j 2.16.0 可供下載,現在默認禁用 JNDI
1分鐘讀
發表於
讀者幫助支持 MSpoweruser。如果您透過我們的連結購買,我們可能會獲得佣金。
請閱讀我們的揭露頁面,了解如何幫助 MSPoweruser 維持編輯團隊的發展 阅读更多
Apache Log4j 2 團隊今天發布了 Log4j 2.16.0,其中有兩個重大變化。
- 為防止 CVE-2021-44228,此版本中刪除了消息查找功能。
- 在之前的 2.15.0 版本中,刪除了解析查找和日誌消息的功能。 但是默認啟用 JNDI 會使用戶面臨風險。 在 2.16.0 版本中,默認情況下禁用 JNDI 功能。 需要此功能的用戶可以使用 log4j2.enablejndi 系統屬性啟用此功能。
多虧了 阿帕奇 記錄服務項目管理委員會 (PMC) 日以繼夜地工作以如此迅速地發布版本。 這將幫助成千上萬的組織保護自己免受 Apache 服務器的外部攻擊。
資源: 阿帕奇