修复log4j漏洞的最新稳定的spring启动版本是什么?我需要修复我当前项目中的log4j漏洞。从mvn-dependency:tree命令中,我可以看到spring-boot版本2.3.3.RELEASE引用了易受攻击的log4j版本。我需要升级到修复此漏洞的春季启动版本。
Spring Boot用户只有在将默认日志记录系统切换到Log4J2时才会受到此漏洞的影响。我们在spring-boot-starter日志中包含的log4j-to-slf4j和log4j-api jar不能单独使用。只有使用log4j核心并在日志消息中包含用户输入的应用程序才有漏洞。
v2.5.8&v2.6.2版本(定于2021年12月23日发布(将采用Log4J v2.17.0
检查https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot