如何修复log4j漏洞-分级
如何修复log4j漏洞-分级
提问于 2021-12-14 07:37:55
众所周知,log4j漏洞已经出现。我们如何在我们自己的项目中缩小这一差距?我们有机会在gradle上推出一个版本吗?
回答 2
Stack Overflow用户
发布于 2021-12-14 07:40:30
我自己的解决方案
constraints{
implementation("org.apache.logging.log4j:log4j-core"){
version{
strictly("[2.15,3[")
prefer("2.15.0")
}
because("CVE-2021-44228 : Log4j is vulnerable to remote code execution")
}
}Stack Overflow用户
发布于 2021-12-14 09:30:12
这是我们在spring项目中使用的解决方案,我们使用enforcedPlatform方法管理依赖关系:
dependencies {
api(enforcedPlatform("org.springframework.boot:spring-boot-dependencies:${springBootVersion}")) {
exclude(group: "org.apache.logging.log4j")
}
api(platform("org.apache.logging.log4j:log4j-bom:2.15.0")) {
because "https://nvd.nist.gov/vuln/detail/CVE-2021-44228"
}
}这是设计到位的,直到我们能够升级到一个版本的Spring,而这个版本本身就是固定版本。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70345275
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号