修复了log4j漏洞的最新稳定 Spring Boot 版本是什么?

mccptt67  于 2022-11-06  发布在  Spring
关注(0)|答案(1)|浏览(143)

最新的稳定的spring Boot 版本是什么,其中的log4j漏洞被修复了?我需要修复我当前项目中的log4j漏洞。从mvn dependency:tree命令中,我可以看到spring boot版本2.3.3.RELEASE引用了有漏洞的log4j版本。我需要升级到spring boot版本,其中的此漏洞被修复了。

bfhwhh0e

bfhwhh0e1#

Sping Boot 用户只有在将默认日志记录系统切换为Log4J 2时才会受此漏洞的影响。我们在spring-boot-starter-logging中包含的log4j-to-slf 4j和log4j-api jar不能单独被利用。只有使用log4j-core并在日志消息中包含用户输入的应用程序才有漏洞。
v2.5.8和v2.6.2版本(截止日期为2021年12月23日)将采用Log4J v2.17.0
检查https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

相关问题