查看原文
其他

Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御!

SpringForAll 2022-07-05

The following article is from 程序猿DD Author 酷霸王

昨天,Apache Log4j 团队再次发布了新版本:2.16.0 !


还在用2.15.0的小伙伴们得赶紧升级了!


2.16.0 更新内容

  • 默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启

  • 默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象

  • Message Lookups被完全移除,加固漏洞的防御

更多更新细节,可以通过官网查看:https://logging.apache.org/log4j/2.x/

如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:http://blog.didispace.com/spring-boot-learning-2x/

Spring Boot用户如何升级

Spring Boot用户依然可以通过前几天分享的Spring Boot应用简易升级Spring Boot下所有log4j版本的方法,去全局调整log4j2的版本。

如果你懒得看之前的文章,也可以通过下图了解具体如何修改:


往期推荐

为什么有的公司会规定所有接口都用 POST请求?

先上传自己的果照,就能防止别人乱传?总觉得哪里不对…...

内卷的真正原因:这篇华为内部论坛的短文讲透了!

一行配置搞定Spring Boot项目的 log4j2 核弹漏洞!

紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!



技术交流群
最近有很多人问,有没有读者交流群,想知道怎么加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群“,即可免费加入我们的高质量技术交流群!

点击阅读原文,送你免费Spring Boot教程!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存