周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。
出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,我项目里实际使用的是slf4j,而且我也没有引用log4j-core这个包,理论上来说是不会有漏洞的。
但是永远伟大正确的甲方爸爸说了,我不管,我看见log4j就害怕,看见后边是2.14.1,就心焦,要不就你去掉,要不你就让他变成2.15.0。
好吧,开工一阵倒腾,单独让log4j的引用,成功变成了2.15.0。只要一行代码就好了,找到pom.xml文件中的properties,加上一句话:<log4j2.version>2.15.0</log4j2.version>,如下图:
可以看到,log4j-api和log4j-to-slf4j已经单独变成了2.15.0,甲方满意的笑了,我就知道你孙子能弄。