大家好,我是一航!
近一周,可能是Log4j团队最忙的一周了;因为上周爆出来的核弹级Bug,在短短的一个星期时间内,连推了两个大版本,来修复此漏洞;
本以为今年只会推出一个小版本的;在这年末之际,因为一个bug,只能说好家伙,明年的版本指标都给用上了;
2.15.0上线短短3天之后,最新的2.16.0已经正式发布
-
默认禁用 JNDI;需要 log4j2.enableJndi设置为 true 以允许 JNDI
-
完全删除对Message Lookups的支持。进一步强化防御
更多细节,可查看官网:https://logging.apache.org/log4j/2.x/
- Java 8之后的版本,强烈建议升级至2.16.0
- Java 7的版本,建议升级到2.12.2;2.13.0之后最小支持Java 8
一行配置,轻松升级最新版
Apache 受影响项目2.16.0
同时,Apache 安全团队也公布了受log4j CVE-2021-44228影响的Apache项目,可通过下表进行排查,并参考解决方案进行版本更新;
铁子们,这刚刚升完2.15.0,要不趁着今天才周四,把2.16.0给升了吧!
扫码加群,每天分享学习资料;等你哦!!!
