1、log4j 漏洞介绍
log4j的漏洞介绍以及原理请参考文章 ,网址详见下面文章 Log4j漏洞原理及修复_linux log4j漏洞修复方案-CSDN博客,遇到这个漏洞要升级log4j 的jar包到2.17.0 以上。
2、项目快速处理方案
由于maven 管理jar 的spring 项目或者springBoot 项目的jar包依赖树级关系,最后构建一个庞大的依赖关系图。而log4j 是常用的底层jar包,如果一个一个jar 依赖通过配置排除依赖的话,工作量很大,并且很容易漏掉。而dependencies 的优先级高于dependencyManagement,所以首先把dependencies 中依赖log4j 相关包去掉,然后在dependencyManagement 升级Log4j 相关的包,如下截图,这样就可以快速处理log4j 漏洞
