我听说Log4j core 根据https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot 是易受攻击的
所以我需要一个修复程序来消除我的服务中的漏洞!
我正在尝试将 log4j 从旧版本升级到 2.15.0
我可以手动升级依赖,但问题是我不知道,是否有任何依赖正在下载 log4j 旧版本!
所以我想要一些解决方案来升级我的项目中的 log4j 依赖项,无论它们是直接的还是传递的 :)
【问题讨论】:
标签: security gradle logging log4j spring-boot-starter
[更新] Log4j 推出了一个新版本 2.17.0,其中包含更多安全修复程序,并建议在系统中使用 2.17.0 :)
[更新]
Log4j 又发布了一个构建版本,即2.16.0,其中包含一个安全修复程序!
我找到了肮脏的修复!
只需在您的 build.gradle 中添加以下代码块,这会将您的 log4j 库升级到 2.16.0
不管依赖是直接的还是传递的
configurations.all {
resolutionStrategy.eachDependency { DependencyResolveDetails details ->
if (details.requested.group == 'org.apache.logging.log4j') {
details.useVersion '2.17.0'
}
}
}
【讨论】:
请找到解决办法
将 Apache log4j 版本升级到 2.15.0(发布日期:周五, 2021 年 12 月 10 日),如果您使用的是 Apache log4j 和版本 小于 2.15.0。目前 2.15.0 已过时。使用 2.16.0
12 月 13 日,apache 推出了新版本的 log4j - Log4j 2.16.0, 这样使用起来更可靠。
还要检查 JVM 版本,如果低于这个可能会受到影响。
【讨论】: