Written by
spring-style
on
on
[log4j 보안 취약점 관련] spring boot 에서 log4j 관련 version upgrade.
[log4j 보안 취약점 관련] spring boot 에서 log4j 관련 version upgrade.
- 상황
: 얼마전 log4j 보안 취약점 발견으로 현재 개발중인 프로젝트의 log4j 라이브러리를 버전을 2.15 이상으로 업그레이드 해야했다.
spring boot 의 최신버전(2.6.1) 로 업데이트를 해도 여기 포함된 log4j 는 2.14.x 버전으로 아직 보안 취약점이 해결되지 않은 버전이었다.
우리 프로젝트는 spring boot 를 사용중이었고 spring-boot-starter-web 에 포함된 log4j 를 사용중이었다.
-> 다른 많은 라이브러리에서도 가져오고 있고 가장 먼저 선언된거에서 가져오는거였다. 그리고 여러개가 선언되어있어도 가장 높은 버전 하나만 사용되고 있었음! (그래서 하나하나 exclude 하지않아도 되고 해도 소용없었던 것)
- 해결
gradle 사용 시, build.gradle 에 추가.
ext['log4j2.version'] = '2.16.0'
maven 사용 시, pom.xml 의 properties 아래에 추가
2.16.0
from http://jy-note.tistory.com/14 by ccl(A) rewrite - 2021-12-16 17:27:24