一行配置搞定 Spring Boot项目的 log4j2 核弹漏洞!
source link: https://segmentfault.com/a/1190000041100366
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
相信昨天,很多小伙伴都因为Log4j2的史诗级漏洞忙翻了吧?
看到群里还有小伙伴说公司里还特别建了800+人的群在处理...
好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版本。各应用方也可以执行较为稳定的修复方案了。
不过我看到群里发出来的各种修复方法,还真是不好看...所以这里也提一下Spring Boot用户怎么修复最简单吧。
最简修复方式
有些小伙伴其实想到了直接通过Spring Boot的Starter去解决,所以还给Spring Boot提了Issue,希望spring-boot-starter-log4j2可以支持最新的2.15版本(提Issue的时候还是rc1,现在已经release了)
但熟悉Spring Boot组件的版本机制的话,其实这个并不需要特地发版解决。只需要加个简单配置就可以了,具体如下图:
是的,就是这么简单,只需要在pom.xml中像下面配置就可以了:
<properties>
<log4j2.version>2.15.0</log4j2.version>
</properties>如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:http://blog.didispace.com/spring-boot-learning-2x/
不知道大家有没有发现,最近几次因为漏洞影响到我们Spring Boot应用的都不是Spring Boot原装的东西。
比如:这次的Log4j2, 其实并不是Spring Boot默认使用的日志组件,Spring Boot默认使用Logback。所以这次没有去更改日志组件的小伙伴们昨天都在群里看热闹。。。
而再之前比较严重的漏洞大多都是由另外一位第三方组件引起的,相信你也猜到是谁了吧?
对的,就是Fastjson。
Spring Boot默认的JSON字符串序列化和反序列化工具是Jackson,而并非Fastjson。不过不知道从什么时候开始,就开始流行Fastjson的方案(我记得XML配置时代就开始了,可能是性能考虑?)。
最近DD这边因为还是都用原装组件,所以都没碰到这些问题,还挺舒坦的。所以,最后还是建议大家如果没有没有碰到什么特别的性能要求,或其他原装组件无法完成的任务时候,再去采用其他方案来替换默认方案,这样会更加稳定。毕竟,默认方案除了Spring官方,整个生态也是应用最为广泛的,它们更经得起考验。
最后,调研下,大家平时使用都替换哪些Spring Boot的默认组件呢?留言区告诉大家吧~
欢迎关注我的公众号:程序猿DD,分享其他地方看不到的知识与思考
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK