共计 482 个字符,预计需要花费 2 分钟才能阅读完成。
很多小伙伴因为 Log4j2 的惊爆 0Day 破绽,前来询问 JeecgBoot 是否存在问题。
这里对立回复: jeecgboot 采纳的是 logback 实现,按情理不影响
如何放心也能够降级下版本号,步骤如下
最简修复形式
改起来非常简单,不必诧异,只须要加个上面的配置就能够了
一、批改文件 jeecg-boot\pom.xml
<properties>
<log4j2.version>2.15.0</log4j2.version>
</properties>
二、批改完后,点击右侧的 maven 刷新按钮
三、如何验证版本号是否批改胜利呢,见下图
附录
其余参考博客 >> 明天早上醒来,出名的 Java 日志组件 Apache Log4j2 就刷爆了圈子。它被发现了一个 0 Day 破绽,该 Log4J2 破绽能够让黑客通过日志记录近程执行代码(Remote Code Execution)。因为这个日志库被广泛应用,而这个破绽又非常容易应用,所以造成的危险也十分重大,让人不得不进步防备。就连不懂代码的客户都来问零碎是否存在这个问题。
受影响的版本
受本次破绽影响的版本范畴为 Apache log4j2 2.0 - 2.14.1。
正文完
发表至: jeecg-boot
2021-12-23
