关于Spring Boot项目的 log4j2 核弹漏洞问题(一行代码配置搞定)

看到群里还有小伙伴说公司里还特别建了800+人的群在处理…

好在很快就有了缓解措施和解决方案。同时，log4j2官方也是速度影响发布了最新的修复版本。各应用方也可以执行较为稳定的修复方案了。

不过我看到群里发出来的各种修复方法，还真是不好看…所以这里也提一下spring boot用户怎么修复最简单吧。

最简修复方式

有些小伙伴其实想到了直接通过spring boot的starter去解决，所以还给spring boot提了issue，希望spring-boot-s五味文字tarter-log4j2可以支持最新的2.15版本（提issue的时候还是rc1，现在已经relea了）

但熟悉spring boot组件的版本机制的话，其实这个并不需要特地发版解决。只需要加个简单配置就可以了，具体如下图：

是的，就是这么简单，只需要在pom.xml中像下面配置就可以了：

<properties>    <log4j2.version>2.15.0</log4j2.version></properties>

如果您正在学习spring boot，那么推荐一个连载多年还在继续更新的免费教程：http://blog.didispace.com/spring-boot-learning-2x/

后记

不知道大家有没有发现，最近几次因为漏洞影响到我们spring boot应用的都不是spring boot原装的东西。

中国法定结婚年龄比如：这次的log4j2， 其实并不是spring boot默认使捐书活动总结用的日志组件，spring boot默认使用logback。所以这次没有去更改日志组件的3月是什么星座小伙伴们昨天都在群里看热闹。。。

而再之前比较严重的漏洞大多都是由另外一位第三方组件引起的，相信你也猜到是谁了吧？

对的，就是fastjson。

spring boot默认的json字符串序列化和反序列化工具是jackson，而并非fastjson。不过不知道从什么时候开始，就开始流行fastjson的方案（我记得xml配置时代就开始了，可能是性能考虑？）。

最近dd这边因为还是都用原装组件，所以都没碰到这些问题，还挺舒坦的。所以，最后还是建议大家如果没有没有碰到什么特别的性能要求，或其他原装组件无法完成的任务时候，再去采用其他方案来替换默认方案，这样会更加稳定。毕竟，默认方案除了spring官方，整个生态也是应用最为广泛的，它们更经得起考验。

最后，调研下，大家平时使用都替换哪些spring boot的默认组件呢？留言区告诉大家吧~

到此这篇关于关于springboot项目屈原离骚的log4j2核弹漏洞问题(一行代码配置搞定)的文章就介绍到这了,更多相关springbootlog4j2核弹漏洞内容请搜索www.887551.com以前的文章或继续浏览下面的相关文章希望大家以后多多支持www.887551.com！