截止21-12-29 log4j 最新版本为2.17.1
截止21-12-20 log4j 最新版本为2.17.0
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.17.1</version> </dependency>
https://logging.apache.org/log4j/2.x/
21-12-15:
近日国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞,通用漏洞编号CNVD-2021-95914。
Apache Log4j2是一款Java日志框架,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞,漏洞利用无需特殊配置。漏洞等级为:高危。
目前受影响范围如下:
Apache Log4j 2.x < 2.15.0-rc2
建议使用相关组件的开发者进行自查,发现存在该漏洞后及时按照以下方案进行处置:
1、禁用lookup属性
1)2.10.0 及以上版本,在 java 启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true
2)2.9.x 版本,升级至 2.10.0,再进行配置
2、更新至 Apache Log4j 2.15.0版本
使用spring-boot-starter-log4j2
利用Spring Boot组件的版本机制修改log4j2版本
<properties> <log4j2.version>2.17.0</log4j2.version> </properties> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </dependency>