- log4j2的漏洞被爆出来这两天忙着修复负责的各系统的漏洞,一般maven的非springboot项目直接升级版本即可、但是springboot项目中就算你使用的是logback来输出日志,仍然会存在漏洞的可能,log4j-api这个包是在spring-boot-starter-logging中,只要你使用的是2.0版本以上的springboot大概率会有此漏洞。
- 废话少说了直接上代码
- 版本一:
既然log4j的相关依赖在spring-boot-starter-logging中那么直接用进行排除然后引入高本版的log4j
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-logging</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.15.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
</exclusions>
<version>2.15.0</version>
</dependency>
- 版本二 :
properties配置中直接加上次配置:
<log4j2.version>2.15.0</log4j2.version>