如何修复 log4j 漏洞

How to fix log4j vulnerability

我听说 Log4j 根据 https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

核心易受攻击

所以我需要一个修复程序来消除我服务中的漏洞!

我正在尝试将 log4j 从旧版本升级到 2.15.0

我可以手动升级依赖,但问题是我不知道,是否有任何依赖正在下载 log4j 旧版本!

所以我想要一些解决方案来升级我的项目中的 log4j 依赖项,无论它们是直接的还是传递的:)

[更新] Log4j 推出了新版本 2.17.0,其中包含更多安全修复程序,建议在系统中使用 2.17.0 :)

[更新] Log4j 又发布了一个版本,2.16.0 又增加了一个安全修复!


我找到了脏修复!

只需在您的 build.gradle 中添加以下代码块,这会将您的 log4j 库升级到 2.16.0

无论依赖是直接的还是传递的

configurations.all {
    resolutionStrategy.eachDependency { DependencyResolveDetails details ->
        if (details.requested.group == 'org.apache.logging.log4j') {
            details.useVersion '2.17.0'
        }
    }
}

请找出解决方案

Upgrade Apache log4j version to 2.15.0 (released date: Friday, December 10, 2021) , if you are using Apache log4j and the version is less than 2.15.0. Currently 2.15.0 is outdated. Use 2.16.0

On Dec13th, apache has introduced new version of log4j - Log4j 2.16.0, this is more reliable to use.

同时检查 JVM 版本,如果低于此版本可能会受到影响。

  1. Java 6 – 6u212
  2. Java 6 – 6u212
  3. Java 7 – 7u202
  4. Java 8 – 8u192
  5. Java 11 - 11.0.2