SpringBoot项目解决 log4j2 核弹漏洞！

事件情况

北京时间12月9号深夜，Apache Log4j2被曝出一个高危漏洞，攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复，依然未能完全解决问题，现在已经更新到2.15.0-rc2。该漏洞被命名为Log4Shell，编号CVE-2021-44228。

高版本的jdk已修改默认配置，可以在一定程度上限制JNDI漏洞利用方式。在这些版本中
com.sun.jndi.ldap.object.trustURLCodebas设置为false，意味着jndi无法使用ldap加载远程代码。但是，还有其他针对此漏洞的攻击方式可能导致RCE。攻击者仍然可以利用服务器上的现有代码来进行有效攻击。

Log4j2是一款优秀的java日志框架，被大量用于业务开发，可能项目本身没有直接使用，但是引用的依赖包中仍然可能用到。只要用户输入的数据会被日志记录，就可被成功攻击。

影响范围Apache Log4j 2.x <= 2.15.1-rc1。

该漏洞于11月下旬由阿里云安全团队的chen zhaojun最先上报。

参考文章

解决方法

Springboot项目修复这个bug，一行代码即可

在pom.xml中修改log4j2的版本即可，升级为2.15.0

    <properties>
        <java.version>1.8</java.version>
        <log4j2.version>2.15.0</log4j2.version>
    </properties>