關於Spring Boot項目的 log4j2 核彈漏洞問題(一行代碼配置搞定)
看到群裡還有小夥伴說公司裡還特別建瞭800+人的群在處理…
好在很快就有瞭緩解措施和解決方案。同時,log4j2官方也是速度影響發佈瞭最新的修復版本。各應用方也可以執行較為穩定的修復方案瞭。
不過我看到群裡發出來的各種修復方法,還真是不好看…所以這裡也提一下Spring Boot用戶怎麼修復最簡單吧。
最簡修復方式
有些小夥伴其實想到瞭直接通過Spring Boot的Starter去解決,所以還給Spring Boot提瞭Issue,希望spring-boot-starter-log4j2可以支持最新的2.15版本(提Issue的時候還是rc1,現在已經release瞭)
但熟悉Spring Boot組件的版本機制的話,其實這個並不需要特地發版解決。隻需要加個簡單配置就可以瞭,具體如下圖:
是的,就是這麼簡單,隻需要在pom.xml
中像下面配置就可以瞭:
<properties> <log4j2.version>2.15.0</log4j2.version> </properties>
如果您正在學習Spring Boot,那麼推薦一個連載多年還在繼續更新的免費教程:http://blog.didispace.com/spring-boot-learning-2x/
後記
不知道大傢有沒有發現,最近幾次因為漏洞影響到我們Spring Boot應用的都不是Spring Boot原裝的東西。
比如:這次的Log4j2, 其實並不是Spring Boot默認使用的日志組件,Spring Boot默認使用Logback。所以這次沒有去更改日志組件的小夥伴們昨天都在群裡看熱鬧。。。
而再之前比較嚴重的漏洞大多都是由另外一位第三方組件引起的,相信你也猜到是誰瞭吧?
對的,就是Fastjson。
Spring Boot默認的JSON字符串序列化和反序列化工具是Jackson,而並非Fastjson。不過不知道從什麼時候開始,就開始流行Fastjson的方案(我記得XML配置時代就開始瞭,可能是性能考慮?)。
最近DD這邊因為還是都用原裝組件,所以都沒碰到這些問題,還挺舒坦的。所以,最後還是建議大傢如果沒有沒有碰到什麼特別的性能要求,或其他原裝組件無法完成的任務時候,再去采用其他方案來替換默認方案,這樣會更加穩定。畢竟,默認方案除瞭Spring官方,整個生態也是應用最為廣泛的,它們更經得起考驗。
最後,調研下,大傢平時使用都替換哪些Spring Boot的默認組件呢?留言區告訴大傢吧~
到此這篇關於關於Spring Boot項目的 log4j2 核彈漏洞問題(一行代碼配置搞定)的文章就介紹到這瞭,更多相關Spring Boot log4j2 核彈漏洞內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- Java經典面試題匯總:Spring Boot
- spring boot教程之產生的背景及其優勢
- SpringBoot如何自定義starter
- SpringBoot的依賴管理配置
- 一篇文章帶你瞭解Java SpringBoot四大核心組件