背景和临时方案查看:高危 Bug!Apache Log4j2 远程代码执行漏洞细节曝光:官方正在修复中
据 Apache 官方最新信息显示,release 页面上已经更新了 Log4j 2.15.0 版本:但是没有上传到中央仓库。所以只能采用临时方案(看链接),或者自己编译、打包、替换、发布来解决。
具体步骤如下:
1、从github下载zip包到本地进行解压缩(https://github.com/apache/logging-log4j2)
2、在logging-log4j2-log4j-2.15.0-rc2目录下执行 mvn install -DskipTests
3、在本地仓库中找到对应目录,确认jar是正常的
4、将jar上传到私服
5、 替换项目中使用的jar,有两种方式
方式1: 采用dependencyManagement锁死jar的版本
方式二:exclusions排除冲突的jar
tips:本人试用了jdk版本1.8和11,11报错