Spring Boot 2.6.3 發佈
大家好,我是棧長。
最近,Spring Boot 又雙叒叕更新了:
可以看到,Spring Boot 現在目前維護了 4 條版本線,但本次只更新了兩個版本:
- 2.6.3
- 2.5.9
這可能是春節前的最後一次發版了。
關注公衆號Java技術棧的小夥伴應該都知道,在前些天的《終於!Spring Boot 發佈最新版,一招解決 Log4j2 核彈級漏洞!》一文中,棧長有解讀到,爲了應對及解決 Log4j2 的核彈級漏洞,以及 Logback 漏洞,Spring Boot 發佈了最新版 v2.6.2。
可誰也沒想到,後面 Log4j2 又搞出了漏洞,Log4j v2.17.1 橫空出世,沒完沒了。。
最新 JDK 版本對應的 Log4j2 版本如下:
| JDK 版本 | Log4j2 版本 |
|---|---|
| Java 8+ | v2.17.1 |
| Java 7 | v2.12.4 |
| Java 6 | v2.3.2 |
另外,Logback 也沒有消停,最新版本已經升級到了 Logback v 1.2.10。
所以,這次的 Spring Boot 發版除了日常的 bug 修復、文檔優化改進。依賴升級等,大家還需要重點關注 Log4j2 & Logback 的漏洞版本升級:
這兩個主流日誌框架版本都已經升級到了最新安全版本了,沒少折騰人,這次是終於塵埃落定了。今天通知到大家這個更新,有需要的可以升級處理。
詳細的可以參考:
https://github.com/spring-projects/spring-boot/releases/tag/v2.6.3
https://github.com/spring-projects/spring-boot/releases/tag/v2.5.9
Log4j2 漏洞終極方案
1、Spring Boot 項目
大家如果在用 2.6.x 和 2.5.x 版本線的,只需要升級到最新的 2.6.3, 2.5.9 即可。
依賴示例:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.6.3</version>
<type>pom</type>
</dependency>
這兩個版本都會升級到最新安全版本:
- Log4j v2.17.1
- Logback v1.2.10
Spring Boot 2.4.x 及以下的版本線不受支持,只需要修改 Log4j2 的版本號即可:
<properties>
<log4j2.version>2.17.1</log4j2.version>
</properties>
另外,不想升級 Spring Boot 主版本的也可以這樣做。
Spring Boot 基礎就不介紹了,推薦下這個實戰教程(含示例源碼):
2、 非 Spring Boot 項目
最新的 Maven 項目依賴:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.1</version>
</dependency>
Maven 基礎也不介紹了,棧長之前寫了一堆,我都在公衆號Java技術棧菜單中整理好了,不會的可以參考閱讀。
Gradle 項目的升級也是同理,略,其他如果沒用 Maven/ Gradle 的老項目可以直接替換包。
Log4j2 最新正式版本下載:
Spring Boot 版本支持路線圖
再來看下最新的 Spring Boot 版本支持路線圖:
可以看到,綠色的是正在繼續維護的,是安全的,橙色的只提供商業支持了,灰色的不提供任何支持了。
所以 Spring Boot 2.5+ 是最低要求的版本了,另外,Spring Boot 2.7.x 還有四個月左右也要和我們見面了,到時 2.5.x 又是下一個結束免費支持的版本線,跟不上了。。
所以,有條件的,直接上 2.6.x 得了,即使如此,隨着時間的推移,到了年底,2.6.x 也要 Over...
最後,如果你還沒用過 Spring Boot,今天我就送你一份 《Spring Boot 學習筆記》這個很全了,包括底層實現原理及代碼實戰,非常齊全,助你快速打通 Spring Boot 的各個環節。
往期 Spring Boot 教程及示例源碼整理:
最後,如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公衆號Java技術棧,公衆號第一時間推送。
我也將主流 Java 面試題和參考答案都整理好了,在公衆號後臺回覆關鍵字 "面試" 進行刷題。
版權聲明!!!
本文系公衆號 "Java技術棧" 原創,轉載、引用本文內容請註明出處,抄襲、洗稿一律投訴侵權,後果自負,並保留追究其法律責任的權利。
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2022最新版)
4.Spring Boot 2.6 正式發佈,一大波新特性。。
覺得不錯,別忘了隨手點贊+轉發哦!