关于springboot的log4j2的安全漏洞问题,官网已经给出来完美解决方案,根据引用springboot的方式不同,分为两种情况:
情况一:使用spring-boot-starter-parent作为父pom进行引用
这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。
<properties>
<log4j2.version>2.18.0</log4j2.version>
</properties>
情况二:使用spring-boot-dependencies依赖进行引用
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-bom</artifactId>
<version>${log4j2.version}</version>
<scope>import</scope>
<type>pom</type>
</dependency>