Log4j 再发 2.16.0 新版,彻底移除 Message Lookups;一行配置轻松升级

  |   0 评论   |   0 浏览

 如遇图片加载失败,可尝试使用手机流量访问

大家好,我是一航!

近一周,可能是Log4j团队最忙的一周了;因为上周爆出来的核弹级Bug,在短短的一个星期时间内,连推了两个大版本,来修复此漏洞;

本以为今年只会推出一个小版本的;在这年末之际,因为一个bug,只能说好家伙,明年的版本指标都给用上了;

 如遇图片加载失败,可尝试使用手机流量访问

2.15.0上线短短3天之后,最新的2.16.0已经正式发布

更新内容

  1. 默认禁用 JNDI;需要log4j2.enableJndi设置为true 以允许 JNDI
  2. 完全删除对Message Lookups的支持。进一步强化防御

    更多细节,可查看官网:https://logging.apache.org/log4j/2.x/

更新升级说明

  1. Java 8之后的版本,强烈建议升级至2.16.0
  2. Java 7的版本,建议升级到2.12.2;2.13.0之后最小支持Java 8

SpringBoot升级

一行配置,轻松升级最新版

<log4j2.version>2.16.0</log4j2.version>

 如遇图片加载失败,可尝试使用手机流量访问

Apache 受影响项目

同时,Apache 安全团队也公布了受log4j CVE-2021-44228影响的Apache项目,可通过下表进行排查,并参考解决方案进行版本更新;

 如遇图片加载失败,可尝试使用手机流量访问

铁子们,这刚刚升完 2.15.0,要不趁着今天才周四,把 2.16.0给升了吧!