Log4j2 發新版本2.16.0 完全刪除Message Lookups的支援,加固漏洞防禦

FH-Admin發表於2021-12-15

昨天,Apache Log4j 團隊再次釋出了新版本:2.16.0!

2.16.0 更新內容

  • 預設禁用JNDI的訪問,使用者需要通過配置log4j2.enableJndi引數開啟
  • 預設允許協議限制為:java、ldap、ldaps,並將ldap協議限制為僅可訪問Java原始物件
  • Message Lookups被完全移除,加固漏洞的防禦
  • java專案 fhadmin.cn

更多細節,可以通過官網檢視:logging.apache.org/log4j/2.x/

Spring Boot使用者如何升級

可以通過下圖瞭解具體如何修改:

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章