乐趣区

关于java:Spring-Boot-年前最后一个版本发布一招解决-Log4j2Logback-漏洞

Spring Boot 2.6.3 公布

大家好,我是栈长。

最近,Spring Boot 又双叒叕更新了:

能够看到,Spring Boot 当初目前保护了 4 条版本线,但本次只更新了两个版本:

  • 2.6.3
  • 2.5.9

这可能是春节前的最初一次发版了。

关注公众号 Java 技术栈的小伙伴应该都晓得,在前些天的《终于!Spring Boot 公布最新版,一招解决 Log4j2 核弹级破绽!》一文中,栈长有解读到, 为了应答及解决 Log4j2 的核弹级破绽 ,以及 Logback 破绽,Spring Boot 公布了最新版 v2.6.2。

可谁也没想到,前面 Log4j2 又搞出了破绽,Log4j v2.17.1 横空出世,没完没了。。

最新 JDK 版本对应的 Log4j2 版本如下:

JDK 版本 Log4j2 版本
Java 8+ v2.17.1
Java 7 v2.12.4
Java 6 v2.3.2

另外,Logback 也没有消停 ,最新版本曾经降级到了 Logback v 1.2.10。

所以,这次的 Spring Boot 发版除了日常的 bug 修复、文档优化改良。依赖降级等, 大家还须要重点关注 Log4j2 & Logback 的破绽版本升级:

这两个支流日志框架版本都曾经降级到了最新平安版本了,没少折腾人,这次是终于尘埃落定了。明天告诉到大家这个更新,有须要的能够降级解决。

具体的能够参考:

https://github.com/spring-pro…

https://github.com/spring-pro…

Log4j2 破绽终极计划

1、Spring Boot 我的项目

大家如果在用 2.6.x 和 2.5.x 版本线的,只须要降级到最新的 2.6.3, 2.5.9 即可。

依赖示例:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>2.6.3</version>
  <type>pom</type>
</dependency>

这两个版本都会降级到最新平安版本:

  • Log4j v2.17.1
  • Logback v1.2.10

Spring Boot 2.4.x 及以下的版本线不受反对,只须要批改 Log4j2 的版本号即可:

<properties>
  <log4j2.version>2.17.1</log4j2.version>
</properties>

另外,不想降级 Spring Boot 主版本的也能够这样做。

Spring Boot 根底就不介绍了,举荐下这个实战教程(含示例源码):

https://github.com/javastacks…

2、非 Spring Boot 我的项目

最新的 Maven 我的项目依赖:

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.1</version>
</dependency>

Maven 根底也不介绍了,栈长之前写了一堆,我都在公众号 Java 技术栈菜单中整顿好了,不会的能够参考浏览。

Gradle 我的项目的降级也是同理,略,其余如果没用 Maven/ Gradle 的老我的项目能够间接替换包。

Log4j2 最新正式版本下载:

https://logging.apache.org/lo…

Spring Boot 版本反对路线图

再来看下最新的 Spring Boot 版本反对路线图:

能够看到,绿色的是正在持续保护的,是平安的,橙色的只提供商业反对了,灰色的不提供任何反对了。

所以 Spring Boot 2.5+ 是最低要求的版本了,另外,Spring Boot 2.7.x 还有四个月左右也要和咱们见面了,到时 2.5.x 又是下一个完结收费反对的版本线 ,跟不上了。。

所以,有条件的,间接上 2.6.x 得了,即使如此,随着工夫的推移,到了年底,2.6.x 也要 Over…


最初,如果你还没用过 Spring Boot,明天我就送你一份《Spring Boot 学习笔记 》这个很全了,包含底层实现原理及代码实战,十分齐全,助你疾速买通 Spring Boot 的各个环节。

往期 Spring Boot 教程及示例源码整顿:

https://github.com/javastacks…

最初,如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。

我也将支流 Java 面试题和参考答案都整顿好了,在公众号后盾回复关键字 “ 面试 ” 进行刷题。

版权申明!!!

本文系公众号 “Java 技术栈 ” 原创,转载、援用本文内容请注明出处, 剽窃、洗稿一律投诉侵权,后果自负 ,并保留追究其法律责任的权力。

近期热文举荐:

1.1,000+ 道 Java 面试题及答案整顿 (2022 最新版)

2. 劲爆!Java 协程要来了。。。

3.Spring Boot 2.x 教程,太全了!

4.Spring Boot 2.6 正式公布,一大波新个性。。

5.《Java 开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞 + 转发哦!

退出移动版