Image may be NSFW.
Clik here to view.
Clik here to view.
จากปัญหาของ Log4j core ที่มีช่องโหว่ในการโจมตี จาก CVE-2021-44228
ซึ่งทาง Spring ได้ออกมาอธิบาย
รวมทั้งวิธีการตรวจสอบ แก้ไขต่าง ๆ ไว้ดังนี้
หลัก ๆ ปัญหานี้ถูกแก้ไขแล้วใน Log4J version 2.15.0
สำหรับคนที่ใช้งาน Spring Boot แบบ default ในการพัฒนา
จะไม่ได้รับผลกระทบ เพราะว่าไม่ได้ใช้งาน Log4j-core นั่นเอง
แต่ถ้าใครเปลี่ยน default logging มาเป็น Log4j
แน่นอนว่าได้รับผลกระทบแน่นอน
ซึ่งจำเป็นต้อง upgrade ไปใช้ log4j version 2.15.0
สำหรับ project ที่ใช้งานผ่าน Apache Maven
ให้ทำการตรวจสอบ version ของ log4j ดังนี้
ส่วน Gradle ก็ตรวจสอบดังนี้
[code]gradle dependencyInsight --dependency log4j-core[/code]สำหรับ project ที่ไม่สามารถแก้ไข code หรือ dependency ได้
ก็ให้แก้ไข environment variable ในไฟล์ property
[code]log4j2.formatMsgNoLookups=true[/code]หรือใน environment variable ดังนี้
[code]java -Dlog4j2.formatMsgNoLookups=true -jar myapp.jar[/code]