备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

Log4j2 发新版本2.16.0 完全删除Message Lookups的支持,加固漏洞防御

2021-12-15 211
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Log4j2 发新版本2.16.0 完全删除Message Lookups的支持,加固漏洞防御

昨天,Apache Log4j 团队再次发布了新版本:2.16.0!

2.16.0 更新内容

  • 默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启
  • 默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象
  • Message Lookups被完全移除,加固漏洞的防御
  • java项目 fhadmin.cn

更多细节,可以通过官网查看:logging.apache.org/log4j/2.x/

Spring Boot用户如何升级

可以通过下图了解具体如何修改:

59a77bd3894f7d78c54fd7b40a45ffa4.png

文章标签:
Java
Apache
Spring
安全
关键词:
日志服务漏洞
祖师爷
目录
相关文章
Tom弹架构
|
8月前
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
Tom弹架构
82 1
创业之路&下一个五年
|
9月前
|
运维 安全 Java
Log4j2 远程代码执行漏洞——总结
前两天网络有爆料log4j安全漏洞,安全大于天,于是也加入到这个和时间赛跑的临时事件中。对于安全漏洞网上有很多文章,内容都大同小异,不过针对于这件事小编下面的故事一定能让读者有"意外"收获。
创业之路&下一个五年
84 0
明哥的IT随笔
|
6月前
|
安全 Java 大数据
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
明哥的IT随笔
57 0
李火火
|
7月前
|
安全 Java Shell
Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。
李火火
59 2
Tom弹架构
|
8月前
|
安全 druid Java
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
Tom弹架构
209 1
Tom弹架构
|
8月前
|
安全 网络协议 Java
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变,小白也能看懂
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。
Tom弹架构
223 0
架构驿站
|
9月前
|
Kubernetes 安全 中间件
Traefik 如何保护应用免受 Log4j2 漏洞的影响
2021 年 12 月 10 日,Apache Log4j2 中的一个被称为 “Log4Shell” 的漏洞被发布(CVE-2021-44228),引入了严重的安全风险。作为 Java 应用程序日志库中的一个核心组件,其广泛用于著名的开源项目以及企业级后端应用程序。在本文中,我们将向您展示 Traefik 如何基于插件系统帮助我们的业务缓解此问题。
架构驿站
97 0
雷石安全实验室
|
11月前
|
JSON 安全 Java
使用goby检测log4j漏洞
使用goby检测log4j漏洞
雷石安全实验室
200 0
雷石安全实验室
|
11月前
|
安全 Java fastjson
Log4J 漏洞复现+漏洞靶场
Log4J 漏洞复现+漏洞靶场
雷石安全实验室
451 0
乌鸦安全
|
11月前
|
安全 Java Shell
一次简单的log4j漏洞测试
一次简单的log4j漏洞测试
乌鸦安全
387 0

热门文章

最新文章

  • 1
    更优性能与性价比,从自建 ELK 迁移到 SLS 开始
  • 2
    MySQL数据库,可以使用二进制日志(binary log)进行时间点恢复
  • 3
    Linux手动清理Linux脚本日志定时清理日志和log文件执行表达式
  • 4
    使用Java代码打印log日志
  • 5
    【深入探究 C++ 日志库清理策略】glog、log4cplus 和 spdlog 的日志文件管理策略
  • 6
    /var/log/auth.log日志详解
  • 7
    R语言计量经济学:工具变量法(两阶段最小二乘法2SLS)线性模型分析人均食品消费时间序列数据和回归诊断
  • 8
    Linux&Windows 日志分析 陇剑杯 CTF
  • 9
    提升日志管理效率:掌握CKA认证中的边车容器技巧
  • 10
    Nginx+Promtail+Loki+Grafana Nginx日志展示
  • 1
    工具变量法(两阶段最小二乘法2SLS)线性模型分析人均食品消费时间序列数据和回归诊断(下)
    35
  • 2
    Docker从入门到精通:Docker log 命令学习
    3
  • 3
    通过AOP记录操作日志:提升应用可追踪性与安全性的利器
    20
  • 4
    解决IDEA tomcat控制台只有server日志
    5
  • 5
    log4j异常日志过滤规则配置
    11
  • 6
    Oracle日志文件:数据王国的“记事本”
    13
  • 7
    基于Java的公司员工工作日志办公系统的设计与实现(源码+lw+部署文档+讲解等)
    30
  • 8
    工具变量法(两阶段最小二乘法2SLS)线性模型分析人均食品消费时间序列数据和回归诊断2
    13
  • 9
    R语言计量经济学:工具变量法(两阶段最小二乘法2SLS)线性模型分析人均食品消费时间序列数据和回归诊断
    38
  • 10
    Linux&Windows 日志分析 陇剑杯 CTF
    37

    • 相关课程

    更多
  • 日志服务SLS实现云产品可观测
  • 日志服务 SLS 可观测数据分析平台介绍
  • 大数据知识图谱系列—基于ELK+Flink日志全观测最佳实践
  • 场景实践-基于阿里云Quick BI 对MOOC网站日志分析
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • PostgresChina2018_赖思超_PostgreSQL10_hash索引的WAL日志修改版final
  • Kubernetes下日志实时采集、存储与计算实践
  • 日志数据采集与分析对接

    • 相关实验场景

    更多
  • 使用CloudLens管理SLS日志采集
  • 使用CloudLens采集PolarDB日志并进行审计分析
  • 使用CloudLens采集RDS日志并进行审计分析
  • 基于SLS快速实现业务可观测
  • 使用日志服务SLS进行OSS可观测分析
  • 多账号体系下使用日志服务中心化的管理日志
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)