最新的稳定的spring Boot 版本是什么,其中的log4j漏洞被修复了?我需要修复我当前项目中的log4j漏洞。从mvn dependency:tree命令中,我可以看到spring boot版本2.3.3.RELEASE引用了有漏洞的log4j版本。我需要升级到spring boot版本,其中的此漏洞被修复了。
bfhwhh0e1#
Sping Boot 用户只有在将默认日志记录系统切换为Log4J 2时才会受此漏洞的影响。我们在spring-boot-starter-logging中包含的log4j-to-slf 4j和log4j-api jar不能单独被利用。只有使用log4j-core并在日志消息中包含用户输入的应用程序才有漏洞。v2.5.8和v2.6.2版本(截止日期为2021年12月23日)将采用Log4J v2.17.0检查https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
1条答案
按热度按时间bfhwhh0e1#
Sping Boot 用户只有在将默认日志记录系统切换为Log4J 2时才会受此漏洞的影响。我们在spring-boot-starter-logging中包含的log4j-to-slf 4j和log4j-api jar不能单独被利用。只有使用log4j-core并在日志消息中包含用户输入的应用程序才有漏洞。
v2.5.8和v2.6.2版本(截止日期为2021年12月23日)将采用Log4J v2.17.0
检查https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot