昨天,Apache Log4j 團隊再次釋出了新版本:2.16.0!
2.16.0 更新內容
- 預設禁用JNDI的訪問,使用者需要通過配置log4j2.enableJndi引數開啟
- 預設允許協議限制為:java、ldap、ldaps,並將ldap協議限制為僅可訪問Java原始物件
- Message Lookups被完全移除,加固漏洞的防禦
更多細節,可以通過官網檢視:https://logging.apache.org/log4j/2.x/
如果您正在學習Spring Boot,那麼推薦一個連載多年還在繼續更新的免費教程:https://blog.didispace.com/spring-boot-learning-2x/
Spring Boot使用者如何升級
Spring Boot使用者依然可以通過前幾天分享的Spring Boot應用簡易升級Spring Boot下所有log4j版本的方法,去全域性調整log4j2的版本。
如果你懶得看之前的文章,也可以通過下圖瞭解具體如何修改:
歡迎關注我的公眾號:程式猿DD,分享外面看不到的乾貨與思考!