周末的log4j漏洞像一個炸彈扔進了糞坑一樣,把各種碼畜炸的七零八落,一身臭味。漏洞原因想必大家都已經知道了,我的項目使用spring boot也不幸中招。
出現了2個帶log4j名稱的引用,即使我沒有用過log4j,這是spring boot start logging自己引用的,根據我查詢的資料,只是一個適配層的轉換,我項目里實際使用的是slf4j,而且我也沒有引用log4j-core這個包,理論上來說是不會有漏洞的。
但是永遠偉大正確的甲方爸爸說了,我不管,我看見log4j就害怕,看見后邊是2.14.1,就心焦,要不就你去掉,要不你就讓他變成2.15.0。
好吧,開工一陣倒騰,單獨讓log4j的引用,成功變成了2.15.0。只要一行代碼就好了,找到pom.xml文件中的properties,加上一句話:<log4j2.version>2.15.0</log4j2.version>,如下圖:
可以看到,log4j-api和log4j-to-slf4j已經單獨變成了2.15.0,甲方滿意的笑了,我就知道你孫子能弄。