终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!相关的知识,希望对你有一定的参考价值。

上一篇:重磅!Spring Boot 2.6.1 正式发布

Spring Boot 2.6.2 发布

关注公众号Java技术栈的小伙伴应该都知道,在前些天的《最新!Log4j 2.x 再发版,正式解决核弹级漏洞,又要熬夜了。。。》这篇文章中,栈长有提到,为了应对及解决 Log4j2 的核弹级漏洞,Spring Boot 会在 2021/12/23 左右发布新版:

这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了:

同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线:

  • 2.6.x(新发布)
  • 2.5.x(新发布)
  • 2.4.x
  • 2.3.x

这次的 2.6.2 和 2.5.8 不过都是修复版本,分别修复了 55 、46 个 bug,以及文档优化、依赖升级等,这没什么好说的了,通知到大家这个更新,有需要的可以享受免费升级。

详细的可以参考:

https://github.com/spring-projects/spring-boot/releases/tag/v2.6.2

https://github.com/spring-projects/spring-boot/releases/tag/v2.5.8

重点!!!

最值得注意的,在依赖升级中升级了 Log4j2:

为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,这次直接干到了 Log4j v2.17.0,也是计划赶不上变化。

Log4j2 漏洞终极方案

1、Spring Boot 项目

大家如果在用 2.6.x 和 2.5.x 版本线的,只需要升级到最新的 2.6.2, 2.5.8 即可:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>2.6.2</version>
  <type>pom</type>
</dependency>

这两个版本都会升级到最新版本 Log4j v2.17.0:

其他的 Spring Boot 2.4.x 及以下的版本线不受支持。

当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。

Spring Boot 项目只要改 Log4j2 版本号:

<properties>
  <log4j2.version>2.17.0</log4j2.version>
</properties>

Spring Boot 基础就不介绍了,推荐下这个实战教程(含示例源码):

https://github.com/javastacks/spring-boot-best-practice

2、 非 Spring Boot 项目

最新的 Maven 项目依赖:

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>

Maven 基础也不介绍了,栈长之前写了一堆,我都在公众号Java技术栈菜单中整理好了,不会的可以参考阅读。

Gradle 项目的升级也是同理,略。

其他如果没用 Maven/ Gradle 的老项目可以直接替换包。

Log4j2 最新正式版本下载:

https://logging.apache.org/log4j/2.x/download.html

Spring Boot 版本支持路线图

近期,Spring Boot 也公布了最新的版本支持路线图:

可以看到,Spring Boot 2.4.x 及之前的版本都已经结束免费支持了,意味着不再提供免费的安全更新和错误修复了,如果有需要,Spring Boot 2.2.x+ 这些还是可以提供商业支持的

但如果你还用的 Spring Boot 2.1.x 及之前的版本,那对不起,不再提供任何支持了。

所以小伙伴们,你们用的什么版本,该用什么版本,心里该有数了,这是要逼着我们用 Spring Boot 2.5+ 了? 从安全的角度考虑,这真的很有必要!

另外,Spring Boot 2.7.x 还有半年也要见面了,到时 2.5.x 又是下一个结束免费支持的版本线,技术更新太快,有的还没学就要淘汰了,真是活到老学到老。。


最后,如果你还没用过 Spring Boot,今天我就送你一份 《Spring Boot 学习笔记》这个很全了,包括底层实现原理及代码实战,非常齐全,助你快速打通 Spring Boot 的各个环节。

往期 Spring Boot 教程及示例源码整理:

https://github.com/javastacks/spring-boot-best-practice

最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。

我也将主流 Java 面试题和参考答案都整理好了,在公众号后台回复关键字 "面试" 进行刷题。

版权声明!!!

本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。

近期热文推荐:

1.1,000+ 道 Java面试题及答案整理(2021最新版)

2.劲爆!Java 协程要来了。。。

3.玩大了!Log4j 2.x 再爆雷。。。

4.Spring Boot 2.6 正式发布,一大波新特性。。

5.《Java开发手册(嵩山版)》最新发布,速速下载!

觉得不错,别忘了随手点赞+转发哦!

以上是关于终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!的主要内容,如果未能解决你的问题,请参考以下文章

终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!

Spring Boot 年前最后一个版本发布,一招解决 Log4j2Logback 漏洞!!

Spring Boot 年前最后一个版本发布,一招解决 Log4j2Logback 漏洞!!

一招搞定 Spring Boot 可视化监控!

Spring Boot 与 MVC 的区别,这些终于搞明白了!

Spring Boot 2.6 重磅发布!!!