在Maven pom.xml中,将log4j2的所有用法(包括使用log4j2的依赖项)升级到2.15.0的最简单方法是什么?请参阅CVE-2021年-44228 [英] What is the easiest way in Maven pom.xml to upgrade all usages of log4j2 to 2.15.0, including dependencies using log4j2? See CVE-2021-44228
本文介绍了在Maven pom.xml中,将log4j2的所有用法(包括使用log4j2的依赖项)升级到2.15.0的最简单方法是什么?请参阅CVE-2021年-44228的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
发现log4j2<;=2.14.1存在严重安全漏洞(请参阅https://nvd.nist.gov/vuln/detail/CVE-2021-44228)。如何更新Spring Boot应用程序的pom.xml以确保log4j2的所有(递归)使用都使用版本2.15.0?
推荐答案
更新:
- 2022/01/04:
Log4J 2.17.1包含CVE-2021-44832的修复
- 2021/12/22:
Spring Boot2.5.8和2.6.2已发布,并为Logback 1.2.9和Log4J 2.17.0提供依赖项管理。
- 2.17.0修复CVE-2021-45105
- 2.12.2发布(2021/12/14)
- 2.16.0还可以修复CVE-2021-45046
操作:
默认情况下spring-boot";不受CVE-2021-44228(log4shell)影响。
虽然版本[2 - 2.6.1](任何-starter)取决于和,
Slf4j says:
如果将log4j-over-slf4j.jar与SLF4J API结合使用,除非底层实现是log4j 2.x,否则您是安全的。
可以肯定,
在maven中检查以下命令的输出:
mvn dependency:tree -Dincludes='*log4j*'在gradle中:
gradle -q dependencyInsight --dependency log4j
已入职spring-boot-starter-log4j2
我们肯定受到影响(Spring-boot>;1)!
要(通过)修复更新,最简单的可能是:
maven:
<properties> ... <log4j2.version>2.17.1</log4j2.version><!-- as of 2021/12/28 --> </properties>..在POM中
成绩:
ext['log4j2.version'] = '2.17.1'..在build.gradle中,或:
log4j2.version=2.17.1..在gradle.properties中。
.生成、测试、发布、部署。
链接:
这篇关于在Maven pom.xml中,将log4j2的所有用法(包括使用log4j2的依赖项)升级到2.15.0的最简单方法是什么?请参阅CVE-2021年-44228的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
