终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!相关的知识,希望对你有一定的参考价值。

点击关注公众号,Java干货及时送达

Apache Log4j2 漏洞最新进展及解决方案:《卧槽!Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。》


上一篇:重磅!Spring Boot 2.6.1 正式发布

Spring Boot 2.6.2 发布

关注公众号Java技术栈的小伙伴应该都知道,在前些天的《最新!Log4j 2.x 再发版,正式解决核弹级漏洞,又要熬夜了。。。》这篇文章中,栈长有提到,为了应对及解决 Log4j2 的核弹级漏洞,Spring Boot 会在 2021/12/23 左右发布新版:

这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了:

同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线:

  • 2.6.x(新发布)

  • 2.5.x(新发布)

  • 2.4.x

  • 2.3.x

这次的 2.6.2 和 2.5.8 不过都是修复版本,分别修复了 55 、46 个 bug,以及文档优化、依赖升级等,这没什么好说的了,通知到大家这个更新,有需要的可以享受免费升级。

详细的可以参考:

https://github.com/spring-projects/spring-boot/releases/tag/v2.6.2

https://github.com/spring-projects/spring-boot/releases/tag/v2.5.8

重点!!!

最值得注意的,在依赖升级中升级了 Log4j2:

为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,这次直接干到了 Log4j v2.17.0,也是计划赶不上变化。

Log4j2 漏洞终极方案

1、Spring Boot 项目

大家如果在用 2.6.x 和 2.5.x 版本线的,只需要升级到最新的 2.6.2, 2.5.8 即可:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>2.6.2</version>
  <type>pom</type>
</dependency>

这两个版本都会升级到最新版本 Log4j v2.17.0:

其他的 Spring Boot 2.4.x 及以下的版本线不受支持。

当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。

Spring Boot 项目只要改 Log4j2 版本号:

<properties>
  <log4j2.version>2.17.0</log4j2.version>
</properties>

Spring Boot 基础就不介绍了,推荐下这个实战教程(含示例源码)

https://github.com/javastacks/spring-boot-best-practice

2、 非 Spring Boot 项目

最新的 Maven 项目依赖:

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>

Maven 基础也不介绍了,栈长之前写了一堆,我都在公众号Java技术栈菜单中整理好了,不会的可以参考阅读。

Gradle 项目的升级也是同理,略。

其他如果没用 Maven/ Gradle 的老项目可以直接替换包。

Log4j2 最新正式版本下载:

https://logging.apache.org/log4j/2.x/download.html

Spring Boot 版本支持路线图

近期,Spring Boot 也公布了最新的版本支持路线图:

可以看到,Spring Boot 2.4.x 及之前的版本都已经结束免费支持了,意味着不再提供免费的安全更新和错误修复了,如果有需要,Spring Boot 2.2.x+ 这些还是可以提供商业支持的

但如果你还用的 Spring Boot 2.1.x 及之前的版本,那对不起,不再提供任何支持了。

所以小伙伴们,你们用的什么版本,该用什么版本,心里该有数了,这是要逼着我们用 Spring Boot 2.5+ 了? 从安全的角度考虑,这真的很有必要!

另外,Spring Boot 2.7.x 还有半年也要见面了,到时 2.5.x 又是下一个结束免费支持的版本线,技术更新太快,有的还没学就要淘汰了,真是活到老学到老。。


最后,如果你还没用过 Spring Boot,今天我就送你一份 《Spring Boot 学习笔记》这个很全了,包括底层实现原理及代码实战,非常齐全,助你快速打通 Spring Boot 的各个环节。

往期 Spring Boot 教程及示例源码整理:

https://github.com/javastacks/spring-boot-best-practice

最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。

我也将主流 Java 面试题和参考答案都整理好了,在公众号后台回复关键字 "面试" 进行刷题。

版权声明!!!

本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。

23 种设计模式实战(很全)

重磅官宣:Redis 对象映射框架来了!!

劲爆!Java 协程要来了。。。

JetBrains 发布下一代 IDE,IDEA 可以扔了

重磅!JDK 17 发布,正式免费。。

面试官:Java 8 map 和 flatMap 的区别?

终于!Spring Cloud 2021 正式发布。。

推荐一款代码神器,代码量至少省一半!

程序员精通各种技术体系,45岁求职难!

重磅!Spring Boot 2.6 正式发布

Spring Boot 学习笔记,这个太全了!

关注Java技术栈看更多干货

获取 Spring Boot 实战笔记!

以上是关于终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!的主要内容,如果未能解决你的问题,请参考以下文章

终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!

Spring Boot 年前最后一个版本发布,一招解决 Log4j2Logback 漏洞!!

Spring Boot 年前最后一个版本发布,一招解决 Log4j2Logback 漏洞!!

一招搞定 Spring Boot 可视化监控!

Spring Boot 与 MVC 的区别,这些终于搞明白了!

Spring Boot 2.6 重磅发布!!!