更新：自从这篇文章发布以来，已发布新的 logback 1.2.9 版本。虽然这修复了一个安全问题，但漏洞利用的先决条件非常不同，因为它们“需要对 logback 的配置文件具有写访问权限”。Log4J 还发布了新的 2.17.0 版本，其中包含针对 CVE-2021-45046 和 CVE-2021-45105 的修复。Spring Boot 2.5.8 和 2.6.2 已发布，并提供 logback 1.2.9 和 Log4J 2.17.0 的依赖管理。Log4J 2.17.1 包含针对 CVE-2021-44832 的修复

您可能已在新闻中看到，针对流行的 Log4J2 库报告了一个新的零日漏洞，该漏洞可能允许攻击者远程执行代码。该漏洞已针对 log4j-core jar 报告了 CVE-2021-44228，并在 Log4J v2.15.0 中修复。

仅当 Spring Boot 用户将默认日志系统切换到 Log4J2时，才会受到此漏洞的影响。我们包含在 spring-boot-starter-logging 中的 log4j-to-slf4j 和 log4j-api jar 本身无法被利用。只有使用 log4j-core 并在日志消息中包含用户输入的应用程序才会受到威胁。

我们即将发布的 v2.5.8 和 v2.6.2 版本（预计 2021 年 12 月 23 日发布）将采用 Log4J v2.17.0，但由于这是一个非常严重的漏洞，您可能希望覆盖我们的依赖项管理并尽早升级您的 Log4J2 依赖项。

Maven

对于 Maven 用户，您可以按照 这些说明 并设置 log4j2.version 属性。

例如，如果您使用的是我们的父 POM，则可以设置 log4j2.version 属性

<properties>
    <log4j2.version>2.17.1</log4j2.version>
</properties>

如果您没有使用我们的父 POM，而是导入 spring-boot-dependencies BOM，则需要使用 <dependencyManagement> 部分

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-bom</artifactId>
            <version>2.17.1</version>
            <scope>import</scope>
            <type>pom</type>
        </dependency>
        ... other dependencies including spring-boot-dependencies
    </dependencies>
</dependencyManagement>

要检查覆盖是否已应用，请运行 ./mvnw dependency:list | grep log4j 并检查版本是否为 2.17.1。

Gradle

对于 Gradle 用户，您可以按照 这些说明 并更新版本属性、导入 BOM 或使用 resolutionStrategy。

对于大多数用户，设置 log4j2.version 属性就足够了

ext['log4j2.version'] = '2.17.1'

如果您使用的是 Gradle 的平台支持而不是我们的依赖项管理插件，则可以向 Log4J BOM 添加依赖项

implementation(platform("org.apache.logging.log4j:log4j-bom:2.17.1"))

如果您无法使用上述两种方法，则可以声明 resolutionStrategy

configurations.all {
	resolutionStrategy.eachDependency { DependencyResolveDetails details ->
		if (details.requested.group == 'org.apache.logging.log4j') {
			details.useVersion '2.17.1'
		}
	}
}

无论您选择哪种方法，要检查覆盖是否已应用，您可以运行 ./gradlew dependencyInsight --dependency log4j-core 并查找版本 2.17.1。