springboot极速修复log4j漏洞
周末的log4j漏洞像⼀个扔进了粪坑⼀样,把各种码畜炸的七零⼋落,⼀⾝臭味。漏洞原因想必⼤家都已经知道了,我的项⽬使⽤spring boot也不幸中招。
出现了2个带log4j名称的引⽤,即使我没有⽤过log4j,这是spring boot start logging⾃⼰引⽤的,根据我查询的资料,只是⼀个适配层的转换,我项⽬⾥实际使⽤的是slf4j,⽽且我也没有引⽤log4j-core这个包,理论上来说是不会有漏洞的。
但是永远伟⼤正确的甲⽅爸爸说了,我不管,我看见log4j就害怕,看见后边是2.14.1,就⼼焦,要不就你去掉,要不你就让他变成2.15.0。
spring framework rce漏洞复现好吧,开⼯⼀阵倒腾,单独让log4j的引⽤,成功变成了2.15.0。只要⼀⾏代码就好了,到l⽂件中的properties,加上⼀句话:
<log4j2.version>2.15.0</log4j2.version>,如下图:
可以看到,log4j-api和log4j-to-slf4j已经单独变成了2.15.0,甲⽅满意的笑了,我就知道你孙⼦能弄。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。