如何修复 log4j 漏洞
How to fix log4j vulnerability
我听说 Log4j
根据 https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
核心易受攻击
所以我需要一个修复程序来消除我服务中的漏洞!
我正在尝试将 log4j 从旧版本升级到 2.15.0
我可以手动升级依赖,但问题是我不知道,是否有任何依赖正在下载 log4j 旧版本!
所以我想要一些解决方案来升级我的项目中的 log4j 依赖项,无论它们是直接的还是传递的:)
[更新] Log4j 推出了新版本 2.17.0
,其中包含更多安全修复程序,建议在系统中使用 2.17.0
:)
[更新]
Log4j 又发布了一个版本,2.16.0
又增加了一个安全修复!
我找到了脏修复!
只需在您的 build.gradle 中添加以下代码块,这会将您的 log4j 库升级到 2.16.0
无论依赖是直接的还是传递的
configurations.all {
resolutionStrategy.eachDependency { DependencyResolveDetails details ->
if (details.requested.group == 'org.apache.logging.log4j') {
details.useVersion '2.17.0'
}
}
}
请找出解决方案
Upgrade Apache log4j version to 2.15.0 (released date: Friday,
December 10, 2021) , if you are using Apache log4j and the version
is less than 2.15.0. Currently 2.15.0 is outdated. Use 2.16.0
On Dec13th, apache has introduced new version of log4j - Log4j 2.16.0,
this is more reliable to use.
同时检查 JVM 版本,如果低于此版本可能会受到影响。
- Java 6 – 6u212
- Java 6 – 6u212
- Java 7 – 7u202
- Java 8 – 8u192
- Java 11 - 11.0.2
我听说 Log4j
根据 https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
所以我需要一个修复程序来消除我服务中的漏洞!
我正在尝试将 log4j 从旧版本升级到 2.15.0
我可以手动升级依赖,但问题是我不知道,是否有任何依赖正在下载 log4j 旧版本!
所以我想要一些解决方案来升级我的项目中的 log4j 依赖项,无论它们是直接的还是传递的:)
[更新] Log4j 推出了新版本 2.17.0
,其中包含更多安全修复程序,建议在系统中使用 2.17.0
:)
[更新]
Log4j 又发布了一个版本,2.16.0
又增加了一个安全修复!
我找到了脏修复!
只需在您的 build.gradle 中添加以下代码块,这会将您的 log4j 库升级到 2.16.0
无论依赖是直接的还是传递的
configurations.all {
resolutionStrategy.eachDependency { DependencyResolveDetails details ->
if (details.requested.group == 'org.apache.logging.log4j') {
details.useVersion '2.17.0'
}
}
}
请找出解决方案
Upgrade Apache log4j version to 2.15.0 (released date: Friday, December 10, 2021) , if you are using Apache log4j and the version is less than 2.15.0. Currently 2.15.0 is outdated. Use 2.16.0
On Dec13th, apache has introduced new version of log4j - Log4j 2.16.0, this is more reliable to use.
同时检查 JVM 版本,如果低于此版本可能会受到影响。
- Java 6 – 6u212
- Java 6 – 6u212
- Java 7 – 7u202
- Java 8 – 8u192
- Java 11 - 11.0.2