spring-boot-starter-log4j2请支持最新版本log4j-2.15 0-rc1
Log4j-2.15 0-rc1安全漏洞最新修复版本
spring-boot-starter-log4j2请支持最新版本log4j-2.15 0-rc1
Log4j-2.15 0-rc1安全漏洞最新修复版本
现在,Log4j-2.15 0-rc2 是最新的修复版本。
在线等待
Spring Boot 将选择下一个 Log4J 版本作为半自动依赖项升级过程的一部分。同时,您可以通过log4j2.version
在构建文件中设置属性来将构建配置为使用您选择的版本,如文档中所示。
等待 Spring Boot 将获取下一个 Log4J 版本作为半自动依赖升级过程的一部分;使用 log4j.version 重建 springboot 项目? 非常抱歉,构建一个 spring boot 项目对我来说太困难了。
spring官方会考虑重建一个版本吗?
@andotorg我们将升级到这个较新版本的log4j,但这不会在维护版本中发生,所以如果您现在想使用这个版本,那么您应该按照文档中的描述在应用程序中覆盖它。
构建一个spring boot项目对我来说太难了。
如果我们进行了升级,您无论如何都必须重建您的应用程序。
我明白了,谢谢
log4j2 2.15.0 正式版发布
添加一些上下文,这是为了响应以下 RCE 漏洞:
@内塞克斯谢谢。我们了解 CVE 并且上述答案仍然适用,您提供的链接中提供了许多缓解措施,升级您的应用程序就是其中之一。无需等待 Spring Boot 版本即可做到这一点。
请注意,上面提到的属性是错误的,至少对于2.5
放
<log4j2.version>2.15.0</log4j2.version>
升级版本
谢谢@Artur-,这是正确的,我已经编辑了上面的评论。所有依赖项版本都可以在文档中找到。
@snicoll 这是关于 log4j 2 的。但是,spring-boot-starter-logging 使用 log4j(不带 2)作为 log4j-to-slf4j 的依赖项。您链接的文档中没有 log4j 依赖项版本。
@snicol 这是关于 log4j 2。但是,spring-boot-starter-logging 使用 log4j(没有 2)作为 log4j-to-slf4j 的依赖项。您链接的该文档中没有 log4j 依赖项版本。
修改示例: 添加
但是maven存储库不存在log4j2的2.15.0版本。
感谢大家。 Spring Boot 默认情况下不使用 log4j2,选择使用 log4j2 的人可以更新到修复该问题的版本。
请查看 Maven 文档:如果您正在使用我们的 starter,或者您正在导入我们的 bom。
如果您使用 Gradle,请参阅本节。
该财产的名称log4j2.version
如记载的那样。