终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!
Posted Java技术栈
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!相关的知识,希望对你有一定的参考价值。
Spring Boot 2.6.2 发布
关注公众号Java技术栈的小伙伴应该都知道,在前些天的《最新!Log4j 2.x 再发版,正式解决核弹级漏洞,又要熬夜了。。。》这篇文章中,栈长有提到,为了应对及解决 Log4j2 的核弹级漏洞,Spring Boot 会在 2021/12/23 左右发布新版:
这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了:
同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线:
- 2.6.x(新发布)
- 2.5.x(新发布)
- 2.4.x
- 2.3.x
这次的 2.6.2 和 2.5.8 不过都是修复版本,分别修复了 55 、46 个 bug,以及文档优化、依赖升级等,这没什么好说的了,通知到大家这个更新,有需要的可以享受免费升级。
详细的可以参考:
https://github.com/spring-projects/spring-boot/releases/tag/v2.6.2
https://github.com/spring-projects/spring-boot/releases/tag/v2.5.8
重点!!!
最值得注意的,在依赖升级中升级了 Log4j2:
为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,这次直接干到了 Log4j v2.17.0,也是计划赶不上变化。
Log4j2 漏洞终极方案
1、Spring Boot 项目
大家如果在用 2.6.x 和 2.5.x 版本线的,只需要升级到最新的 2.6.2, 2.5.8 即可:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.2</version>
<type>pom</type>
</dependency>
这两个版本都会升级到最新版本 Log4j v2.17.0:
其他的 Spring Boot 2.4.x 及以下的版本线不受支持。
当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。
Spring Boot 项目只要改 Log4j2 版本号:
<properties>
<log4j2.version>2.17.0</log4j2.version>
</properties>
Spring Boot 基础就不介绍了,推荐下这个实战教程(含示例源码):
2、 非 Spring Boot 项目
最新的 Maven 项目依赖:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>
Maven 基础也不介绍了,栈长之前写了一堆,我都在公众号Java技术栈菜单中整理好了,不会的可以参考阅读。
Gradle 项目的升级也是同理,略。
其他如果没用 Maven/ Gradle 的老项目可以直接替换包。
Log4j2 最新正式版本下载:
Spring Boot 版本支持路线图
近期,Spring Boot 也公布了最新的版本支持路线图:
可以看到,Spring Boot 2.4.x 及之前的版本都已经结束免费支持了,意味着不再提供免费的安全更新和错误修复了,如果有需要,Spring Boot 2.2.x+ 这些还是可以提供商业支持的。
但如果你还用的 Spring Boot 2.1.x 及之前的版本,那对不起,不再提供任何支持了。
所以小伙伴们,你们用的什么版本,该用什么版本,心里该有数了,这是要逼着我们用 Spring Boot 2.5+ 了? 从安全的角度考虑,这真的很有必要!
另外,Spring Boot 2.7.x 还有半年也要见面了,到时 2.5.x 又是下一个结束免费支持的版本线,技术更新太快,有的还没学就要淘汰了,真是活到老学到老。。
最后,如果你还没用过 Spring Boot,今天我就送你一份 《Spring Boot 学习笔记》这个很全了,包括底层实现原理及代码实战,非常齐全,助你快速打通 Spring Boot 的各个环节。
往期 Spring Boot 教程及示例源码整理:
最后,如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。
我也将主流 Java 面试题和参考答案都整理好了,在公众号后台回复关键字 "面试" 进行刷题。
版权声明!!!
本文系公众号 "Java技术栈" 原创,转载、引用本文内容请注明出处,抄袭、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权利。
近期热文推荐:
1.1,000+ 道 Java面试题及答案整理(2021最新版)
4.Spring Boot 2.6 正式发布,一大波新特性。。
觉得不错,别忘了随手点赞+转发哦!
以上是关于终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!的主要内容,如果未能解决你的问题,请参考以下文章
终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!
Spring Boot 年前最后一个版本发布,一招解决 Log4j2Logback 漏洞!!
Spring Boot 年前最后一个版本发布,一招解决 Log4j2Logback 漏洞!!