那些遇到过的问题

如何修复Gradle项目中的Log4J漏洞

hsi*_*ngh 5 spring gradle log4j2 spring-boot

我可以在我的项目的 Gradle 依赖树中看到 org.apache.logging.log4j:log4j-core:2.14.0 库。

我们还没有从外部添加 log4j 版本。该版本作为其他 jar 或 spring-boot-starter 的传递依赖项的一部分出现。

如何在 Gradle 中覆盖 log4j 版本?

bar*_*uin 4

首先,找出您真正使用的 log4j 相关库,例如

 .\gradlew dependencies --configuration=testRuntimeClasspath | find "log4j"
Run Code Online (Sandbox Code Playgroud)

然后用当前版本覆盖它们,如下所示(docs),放置在dependencies块之后:

configurations.all {
    resolutionStrategy {
        force 'org.apache.logging.log4j:log4j-api:2.17.0'
        force 'org.apache.logging.log4j:log4j-core:2.17.0'
        force 'org.apache.logging.log4j:log4j-slf4j-impl:2.17.0'
        force 'org.apache.logging.log4j:log4j-jul:2.17.0'
    }
}
Run Code Online (Sandbox Code Playgroud)

您可能需要向该块添加更多/更少的库,具体取决于开始时的检查结果。

由于您使用的是 Spring Boot,因此您还可以使用Spring-Boot 特定的功能来设置 Log4J 版本:

ext['log4j2.version'] = '2.17.0'
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

6747 次

最近记录:

4 年 前
相关归档
没有类型为[javax.persistence.EntityManager]的限定bean 18
Spring Boot是嵌入式Tomcat还是Jetty Production等级 17
Spring启动测试配置 14
在@Transactional 服务方法中捕获 DataIntegrityViolationException 11
强制Spring-Boot使用Gson而不是Jackson 9
如何在spring boot应用程序中将jackson替换为自动封送器和使用jsoniter的unmarshaler 8
找不到通过 Flutter Module 构建的本地 aar 6
Springjar中的Webjars - Javascript没有加载 5
如何在 Spring 中覆盖默认的 AsyncConfigurer(摆脱“可能只存在一个配置器”) 5
如何启用 github 操作以访问机密属性文件 4
难疑归档
什么是Python中的元类? 5409
如何按值对字典进行排序? 3424
在函数中使用全局变量 2939
如何让Git使用我选择的编辑器进行提交? 2362
如何在PHP中解析和处理HTML/XML? 2071
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
JavaScript中是否有"null coalescing"运算符? 1305
为什么自闭脚本标签不起作用? 1284
同步检查Node.js中是否存在文件/目录 1113
将标签重新定义为4个空格 1041