今日芦圾,一個(gè)核爆炸級(jí)別的漏洞在技術(shù)圈引爆,那就是Apache Log4j 2 遠(yuǎn)程代碼執(zhí)行漏洞俄认。一旦被攻擊將造成嚴(yán)重危害个少。
log4j2是apache開源的一款優(yōu)秀的JAVA日志框架,重寫了log4j眯杏,提供了豐富的功能夜焦,使用起來非常方便。該日志被廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)中役拴,用來記錄應(yīng)用系統(tǒng)日志糊探。
不過,近幾年都在使用springboot框架河闰,這個(gè)框架默認(rèn)的是使用logback日志框架科平,如果沒有明確指定使用log4j2日志,修復(fù)起來只需要把log4j2的maven依賴去掉即可姜性,一定要啟動(dòng)項(xiàng)目進(jìn)行驗(yàn)證瞪慧。
下面是修復(fù)方法:
在maven項(xiàng)目的pom.xml中,找到spring-boot-starter-web如下所示部念,去掉log4j-api和log4j-core
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
</exclusion>
</exclusions>
</dependency>
如果項(xiàng)目中確實(shí)在使用log4j2弃酌,那只有按照官方升級(jí)到最新版本了“惫剑現(xiàn)在沒有加入依賴庫中,需要自己下載jar包引入本地依賴妓湘,參考下面加入依賴查蓉。
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-xxx</artifactId>
<version>xxxxx</version>
<scope>system</scope>
<systemPath>${project.basedir}/src/main/resources/lib/xxxxx.jar</systemPath>
</dependency>
