关于java:Log4j2再发新版本2160完全删除Message-Lookups的支持加固漏洞防御

35次阅读

共计 455 个字符,预计需要花费 2 分钟才能阅读完成。

昨天,Apache Log4j 团队再次公布了新版本:2.16.0!

2.16.0 更新内容

  • 默认禁用 JNDI 的拜访,用户须要通过配置 log4j2.enableJndi 参数开启
  • 默认容许协定限度为:java、ldap、ldaps,并将 ldap 协定限度为仅可拜访 Java 原始对象
  • Message Lookups 被齐全移除,加固破绽的进攻

更多细节,能够通过官网查看:https://logging.apache.org/log4j/2.x/

如果您正在学习 Spring Boot,那么举荐一个连载多年还在持续更新的收费教程:https://blog.didispace.com/spring-boot-learning-2x/

Spring Boot 用户如何降级

Spring Boot 用户仍然能够通过前几天分享的 Spring Boot 利用繁难降级 Spring Boot 下所有 log4j 版本的办法,去全局调整 log4j2 的版本。

如果你懒得看之前的文章,也能够通过下图理解具体如何批改:

欢送关注我的公众号:程序猿 DD,分享其余中央看不到的常识与思考

正文完
 0