ctrlC & ctrlV

我们不生产代码,我们只是代码的搬运工~

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。

出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,我项目里实际使用的是slf4j,而且我也没有引用log4j-core这个包,理论上来说是不会有漏洞的。

但是永远伟大正确的甲方爸爸说了,我不管,我看见log4j就害怕,看见后边是2.14.1,就心焦,要不就你去掉,要不你就让他变成2.15.0。

好吧,开工一阵倒腾,单独让log4j的引用,成功变成了2.15.0。只要一行代码就好了,找到pom.xml文件中的properties,加上一句话:<log4j2.version>2.15.0</log4j2.version>,如下图:

 可以看到,log4j-api和log4j-to-slf4j已经单独变成了2.15.0,甲方满意的笑了,我就知道你孙子能弄。

posted on 2021-12-13 17:38  Rocky_  阅读(1299)  评论(3编辑  收藏  举报