溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容主要講解“Spring Boot項目的log4j2核彈漏洞怎么修復”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“Spring Boot項目的log4j2核彈漏洞怎么修復”吧!
有些小伙伴其實想到了直接通過Spring Boot的Starter去解決,所以還給Spring Boot提了Issue,希望spring-boot-starter-log4j2可以支持最新的2.15版本(提Issue的時候還是rc1,現在已經release了)
但熟悉Spring Boot組件的版本機制的話,其實這個并不需要特地發版解決。只需要加個簡單配置就可以了,具體如下圖:
是的,就是這么簡單,只需要在pom.xml中像下面配置就可以了:
<properties> <log4j2.version>2.15.0</log4j2.version> </properties>
不知道大家有沒有發現,最近幾次因為漏洞影響到我們Spring Boot應用的都不是Spring Boot原裝的東西。
比如:這次的Log4j2, 其實并不是Spring Boot默認使用的日志組件,Spring Boot默認使用Logback。所以這次沒有去更改日志組件的小伙伴們昨天都在群里看熱鬧。。。
而再之前比較嚴重的漏洞大多都是由另外一位第三方組件引起的,相信你也猜到是誰了吧?
對的,就是Fastjson。
Spring Boot默認的JSON字符串序列化和反序列化工具是Jackson,而并非Fastjson。不過不知道從什么時候開始,就開始流行Fastjson的方案(我記得XML配置時代就開始了,可能是性能考慮?)。
最近DD這邊因為還是都用原裝組件,所以都沒碰到這些問題,還挺舒坦的。所以,最后還是建議大家如果沒有沒有碰到什么特別的性能要求,或其他原裝組件無法完成的任務時候,再去采用其他方案來替換默認方案,這樣會更加穩定。畢竟,默認方案除了Spring官方,整個生態也是應用最為廣泛的,它們更經得起考驗。
到此,相信大家對“Spring Boot項目的log4j2核彈漏洞怎么修復”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
