Log4j 再发 2.16.0 新版，彻底移除 Message Lookups；一行配置轻松升级

2021-12-16 | 0 评论 | 0 浏览

如遇图片加载失败，可尝试使用手机流量访问

大家好，我是一航！

近一周，可能是Log4j团队最忙的一周了；因为上周爆出来的核弹级Bug，在短短的一个星期时间内，连推了两个大版本，来修复此漏洞；

本以为今年只会推出一个小版本的；在这年末之际，因为一个bug，只能说好家伙，明年的版本指标都给用上了；

如遇图片加载失败，可尝试使用手机流量访问

2.15.0上线短短3天之后，最新的2.16.0已经正式发布

默认禁用 JNDI；需要log4j2.enableJndi设置为true 以允许 JNDI
完全删除对Message Lookups的支持。进一步强化防御

更多细节，可查看官网：https://logging.apache.org/log4j/2.x/

一行配置，轻松升级最新版

<log4j2.version>2.16.0</log4j2.version>

如遇图片加载失败，可尝试使用手机流量访问

同时，Apache 安全团队也公布了受log4j CVE-2021-44228影响的Apache项目，可通过下表进行排查，并参考解决方案进行版本更新；

如遇图片加载失败，可尝试使用手机流量访问

铁子们，这刚刚升完 2.15.0，要不趁着今天才周四，把 2.16.0给升了吧！

标题：Log4j 再发 2.16.0 新版，彻底移除 Message Lookups；一行配置轻松升级
作者：码霸霸
地址：https://blog.lupf.cn/articles/2021/12/16/1639621172572.html