查看原文
其他

一行配置搞定Spring Boot项目的 log4j2 核弹漏洞!

D叔 程序猿DD 2021-12-11

相信昨天,很多小伙伴都因为Log4j2的史诗级漏洞忙翻了吧?

看到群里还有小伙伴说公司里还特别建了800+人的群在处理...

好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影响发布了最新的修复版本。各应用方也可以执行较为稳定的修复方案了。

不过我看到群里发出来的各种修复方法,还真是不好看...

所以这里也提一下Spring Boot用户怎么修复最简单吧。

最简修复方式

有些小伙伴其实想到了直接通过Spring Boot的Starter去解决,所以还给Spring Boot提了Issue,希望spring-boot-starter-log4j2可以支持最新的2.15版本(提Issue的时候还是rc1,现在已经release了)

但熟悉Spring Boot组件的版本机制的话,其实这个并不需要特地发版解决。只需要加个简单配置就可以了,具体如下图:

是的,就是这么简单,只需要在pom.xml中像下面配置就可以了:

<properties>
<log4j2.version>
2.15.0</log4j2.version>
</properties>

如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:http://blog.didispace.com/spring-boot-learning-2x/

后记

不知道大家有没有发现,最近几次因为漏洞影响到我们Spring Boot应用的都不是Spring Boot原装的东西。

比如:这次的Log4j2, 其实并不是Spring Boot默认使用的日志组件,Spring Boot默认使用Logback。所以这次没有去更改日志组件的小伙伴们昨天都在群里看热闹。。。

而再之前比较严重的漏洞大多都是由另外一位第三方组件引起的,相信你也猜到是谁了吧?

对的,就是Fastjson

Spring Boot默认的JSON字符串序列化和反序列化工具是Jackson,而并非Fastjson。不过不知道从什么时候开始,就开始流行Fastjson的方案(我记得XML配置时代就开始了,可能是性能考虑?)。

最近DD这边因为还是都用原装组件,所以都没碰到这些问题,还挺舒坦的。所以,最后还是建议大家如果没有没有碰到什么特别的性能要求,或其他原装组件无法完成的任务时候,再去采用其他方案来替换默认方案,这样会更加稳定。毕竟,默认方案除了Spring官方,整个生态也是应用最为广泛的,它们更经得起考验。

最后,调研下,大家平时使用都替换了哪些Spring Boot的默认组件呢?留言区告诉大家吧~



往期推荐



如何用 Serverless 让 SaaS 获得更灵活的租户隔离、更优的资源开销

IDEA升级到2021.3之后Maven私有仓库挂了,怎么办?

紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!

雷军做程序员时写的文章,太牛了!

震撼!颠覆三观的18张照片,告诉我第7张你看到了啥?



技术交流群

最近有很多人问,有没有读者交流群,想知道怎么加入。加入方式很简单,有兴趣的同学,只需要点击下方卡片,回复“加群“,即可免费加入我们的高质量技术交流群!

点击阅读原文,送你免费Spring Boot教程!

: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存