Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御

Posted 程序猿DD

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御相关的知识,希望对你有一定的参考价值。

昨天,Apache Log4j 团队再次发布了新版本:2.16.0 !

2.16.0 更新内容

默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启

默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象

Message Lookups被完全移除,加固漏洞的防御

更多更新细节,可以通过官网查看:https://logging.apache.org/log4j/2.x/

如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:http://blog.didispace.com/spring-boot-learning-2x/

Spring Boot用户如何升级

Spring Boot用户依然可以通过前几天分享的Spring Boot应用简易升级Spring Boot下所有log4j版本的方法,去全局调整log4j2的版本。

如果你懒得看之前的文章,也可以通过下图了解具体如何修改:

以上是关于Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御的主要内容,如果未能解决你的问题,请参考以下文章

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

Ubuntu时隔一周再发新版 21.04

Apache Log4j2团队宣布Log4j 2.16.0发布,强烈建议升级

Log4j2 简单使用

2.16.0 版本中的 Log4j2 漏洞

SpringBoot项目解决 log4j2 核弹漏洞