我听说Log4j核心根据https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
所以我需要一个修复程序来消除我的服务中的漏洞!
我正试图将log4j从旧版本提升到2.15.0
我可以手动升级依赖项,但问题是我不知道,是否有任何依赖项正在下载log4j旧版本!
因此,我想要一些解决方案,它只会升级我的项目中的log4j依赖关系,无论它们是直接的还是可传递的:(
[UPDATE]Log4j推出了一个新版本2.17.0,其中包含一些更多的安全修复,并建议在系统中使用2.17.0:(
[更新]Log4j又发布了一个版本2.16.0,并进行了一次安全修复!
我找到了脏修复!
只需在你的build.gradle中添加以下代码块,这将把你的log4j-lib升级到2.16.0
无论依赖关系是直接的还是传递的
configurations.all {
resolutionStrategy.eachDependency { DependencyResolveDetails details ->
if (details.requested.group == 'org.apache.logging.log4j') {
details.useVersion '2.17.0'
}
}
}
请找到解决方案
升级Apache log4j版本至2.15.0(发布日期:星期五,2021年12月10日(,如果您正在使用Apache log4j及其版本小于2.15.0。目前2.15.0已经过时。使用2.16.0
12月13日,apache推出了新版本的log4j-log4j 2.16.0,这使用起来更可靠。
还要检查JVM版本,如果低于此版本可能会受到影响。
- Java 6–6u212
- Java 6–6u212
- Java 7–7u202
- Java 8–8u192
- Java 11-11.0.2