继上篇文章之后,这么严重的问题,肯定也是需要立即解决的,以下为我在项目中解决的方案和步骤,仅供参考。
1、对于jdk1.8及以上版本,直接升级log4j-core和log4j-api的版本即可,最新消息,2.15.0还是存在问题,官方已经发布最新2.16.0,但是,现在又出了最新的2.17.0,建议使用2.17.0;
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.17.0</version>
</dependency>
2、对于JDK1.7版本,建议升级JDK,然后再升级log4j-core和log4j-api,因为该漏洞目前在Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响;
3、当然,因为升级JDK版本牵扯的组件比较多,审计比较复杂,经过楼主验证,JDK1.7