核爆炸漏洞：今天你log4j了吗

今日，一个核爆炸级别的漏洞在技术圈引爆，那就是Apache Log4j 2 远程代码执行漏洞。一旦被攻击将造成严重危害。

log4j2是apache开源的一款优秀的JAVA日志框架，重写了log4j，提供了丰富的功能，使用起来非常方便。该日志被广泛应用于业务系统中，用来记录应用系统日志。

不过，近几年都在使用springboot框架，这个框架默认的是使用logback日志框架，如果没有明确指定使用log4j2日志，修复起来只需要把log4j2的maven依赖去掉即可，一定要启动项目进行验证。

下面是修复方法：

在maven项目的pom.xml中，找到spring-boot-starter-web如下所示，去掉log4j-api和log4j-core

org.springframework.boot

spring-boot-starter-web

org.apache.logging.log4j

log4j-api

org.apache.logging.log4j

log4j-core

如果项目中确实在使用log4j2，那只有按照官方升级到最新版本了。现在没有加入依赖库中，需要自己下载jar包引入本地依赖，参考下面加入依赖。

org.apache.logging.log4j

log4j-xxx

xxxxx

system

${project.basedir}/src/main/resources/lib/xxxxx.jar