SpringBoot Log4j 安全漏洞分析及解决方案

一、序文

SpringBoot作为Java基础结构大行其道，前不久爆发出Log4j安全缝隙，大众更多关心Log4j的损害是多么严重，然而鲜有关心SpringBoot这一底层结构的安全性问题，换而言之，在未对软件项目的安全评估前，所有根据SpringBoot构建的软件应用都归于Log4j缝隙的攻击对象。

1、Log4j缝隙

Log4j缝隙指Java项目中引入了特定版别（运用较多的是2.14.x）的Log4j依靠，导致项目存在被远程攻击的风险。

官方给定的修正计划是赶快晋级Log4j版别（2.17.x），或许替换运用其它日志结构。显而易见最经济的处理方式是晋级Log4j版别。

2、SpringBoot Log4j缝隙

所有根据SpringBoot 构建的Java项目，SpringBoot 版别低于2.6.2的项目都存在Log4j缝隙，请主动处理或许晋级SpringBoot版别。

 org.springframework.boot

 spring-boot-starter-parent

 2.6.2

二、项目依靠剖析

SpringBoot 2.6.2比较新，可以肯定的说，大多数已经开发或许正在开发的项目都存在Log4j缝隙。

1、辨认缝隙

辨认项目中是否存在缝隙的明显标识是查看Log4j依靠。

从上图所知，SpringBoot 2.6.1所依靠的Log4j版别是2.14.x，此版别存在安全缝隙。

2、修正缝隙

晋级SpringBoot版别修正缝隙。

从上图所知，SpringBoot 2.6.2所依靠的Log4j版别是2.17.x，归于安全版别。

三、小结

SpringBoot Log4j缝隙对那些选定某一版别然后长期运用的开发者提出挑战，运用较新的长期安稳版别可以主动屏蔽常见的缝隙。

关于新立项的项目，引荐运用较新版别的SpringBoot来屏蔽Log4j安全缝隙；关于已经开发结束处于保护阶段的项目，手动替换Log4j版别比较合理，盲目晋级SpringBoot版别可能影响安稳运行。