[log4j 보안 취약점 관련] spring boot 에서 log4j 관련 version upgrade.

[log4j 보안 취약점 관련] spring boot 에서 log4j 관련 version upgrade.

- 상황

: 얼마전 log4j 보안 취약점 발견으로 현재 개발중인 프로젝트의 log4j 라이브러리를 버전을 2.15 이상으로 업그레이드 해야했다.

spring boot 의 최신버전(2.6.1) 로 업데이트를 해도 여기 포함된 log4j 는 2.14.x 버전으로 아직 보안 취약점이 해결되지 않은 버전이었다.

우리 프로젝트는 spring boot 를 사용중이었고 spring-boot-starter-web 에 포함된 log4j 를 사용중이었다.

-> 다른 많은 라이브러리에서도 가져오고 있고 가장 먼저 선언된거에서 가져오는거였다. 그리고 여러개가 선언되어있어도 가장 높은 버전 하나만 사용되고 있었음! (그래서 하나하나 exclude 하지않아도 되고 해도 소용없었던 것)

- 해결

gradle 사용 시, build.gradle 에 추가.

ext['log4j2.version'] = '2.16.0'

maven 사용 시, pom.xml 의 properties 아래에 추가

2.16.0

from http://jy-note.tistory.com/14 by ccl(A) rewrite - 2021-12-16 17:27:24