鉴于log4j2漏洞,项目要求要么全部替换log4j,要么升级log4j到安全版本,因为log4j 1版本早已不建议使用,log4j2漏洞影响到的版本为:log4j 2.0<2.4.1,2.4<2.12.2,2.13.0<2.16.0,分析解决过程如下:
通过maven管理工具分析项目中用到了log4j,点击idea中:
出现如下图所示结构:
在该区域世界shift + f搜索log4j:
点进去找到log4j相关的包,双击点进去查看log4j版本,结果为2.13.3在漏洞范围内,去掉log4j-api方式:
去除掉 springboot自带的log4j-api依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
</exclusions>
</dependency>