spring boot极速修复log4j漏洞

周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。

spring boot极速修复log4j漏洞

出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,我项目里实际使用的是slf4j,而且我也没有引用log4j-core这个包,理论上来说是不会有漏洞的。

但是永远伟大正确的甲方爸爸说了,我不管,我看见log4j就害怕,看见后边是2.14.1,就心焦,要不就你去掉,要不你就让他变成2.15.0。

好吧,开工一阵倒腾,单独让log4j的引用,成功变成了2.15.0。只要一行代码就好了,找到pom.xml文件中的properties,加上一句话:<log4j2.version>2.15.0</log4j2.version>,如下图:

spring boot极速修复log4j漏洞

 可以看到,log4j-api和log4j-to-slf4j已经单独变成了2.15.0,甲方满意的笑了,我就知道你孙子能弄。

   

上一篇:本地jar手动引入本地仓库(解决pom文件依赖报错)


下一篇:一波未平一波又起,VMware发布又一高危漏洞