看到群里還有小伙伴說公司里還特別建了800+人的群在處理...

好在很快就有了緩解措施和解決方案。同時，log4j2官方也是速度影響發(fā)布了最新的修復版本。各應用方也可以執(zhí)行較為穩(wěn)定的修復方案了。

不過我看到群里發(fā)出來的各種修復方法，還真是不好看...所以這里也提一下Spring Boot用戶怎么修復最簡單吧。

最簡修復方式

有些小伙伴其實想到了直接通過Spring Boot的Starter去解決，所以還給Spring Boot提了Issue，希望spring-boot-starter-log4j2可以支持最新的2.15版本（提Issue的時候還是rc1，現(xiàn)在已經(jīng)release了）

但熟悉Spring Boot組件的版本機制的話，其實這個并不需要特地發(fā)版解決。只需要加個簡單配置就可以了，具體如下圖：

是的，就是這么簡單，只需要在pom.xml中像下面配置就可以了：

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

如果您正在學習Spring Boot，那么推薦一個連載多年還在繼續(xù)更新的免費教程：http://blog.didispace.com/spring-boot-learning-2x/

后記

不知道大家有沒有發(fā)現(xiàn)，最近幾次因為漏洞影響到我們Spring Boot應用的都不是Spring Boot原裝的東西。

比如：這次的Log4j2， 其實并不是Spring Boot默認使用的日志組件，Spring Boot默認使用Logback。所以這次沒有去更改日志組件的小伙伴們昨天都在群里看熱鬧。。。

而再之前比較嚴重的漏洞大多都是由另外一位第三方組件引起的，相信你也猜到是誰了吧？

對的，就是Fastjson。

Spring Boot默認的JSON字符串序列化和反序列化工具是Jackson，而并非Fastjson。不過不知道從什么時候開始，就開始流行Fastjson的方案（我記得XML配置時代就開始了，可能是性能考慮？）。

最近DD這邊因為還是都用原裝組件，所以都沒碰到這些問題，還挺舒坦的。所以，最后還是建議大家如果沒有沒有碰到什么特別的性能要求，或其他原裝組件無法完成的任務時候，再去采用其他方案來替換默認方案，這樣會更加穩(wěn)定。畢竟，默認方案除了Spring官方，整個生態(tài)也是應用最為廣泛的，它們更經(jīng)得起考驗。

最后，調研下，大家平時使用都替換哪些Spring Boot的默認組件呢？留言區(qū)告訴大家吧~

到此這篇關于關于Spring?Boot項目的?log4j2?核彈漏洞問題(一行代碼配置搞定)的文章就介紹到這了,更多相關Spring?Boot?log4j2?核彈漏洞內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論