終于！Spring Boot 發(fā)布最新版，一招解決 Log4j2 核彈級漏洞！

Spring Boot 2.6.2 發(fā)布

關(guān)注公眾號Java技術(shù)棧的小伙伴應(yīng)該都知道，在前些天的《最新！Log4j 2.x 再發(fā)版，正式解決核彈級漏洞，又要熬夜了。。。》這篇文章中，棧長有提到，為了應(yīng)對及解決 Log4j2 的核彈級漏洞，Spring Boot 會在 2021/12/23 左右發(fā)布新版：

這不，效率還不錯，提前 2 天發(fā)版了（2021/12/21），可能是 Log4j2 漏洞的最終塵埃落定吧，最近沒少折騰人，Spring Boot 2.6.2 終于來了：

同時發(fā)布的還有 Spring Boot 2.5.8，另外可以看到，Spring Boot 現(xiàn)在目前維護(hù)了 4 條版本線：

• 2.6.x（新發(fā)布）
• 2.5.x（新發(fā)布）
• 2.4.x
• 2.3.x

這次的 2.6.2 和 2.5.8 不過都是修復(fù)版本，分別修復(fù)了 55 、46 個 bug，以及文檔優(yōu)化、依賴升級等，這沒什么好說的了，通知到大家這個更新，有需要的可以享受免費升級。

詳細(xì)的可以參考：

https://github.com/spring-projects/spring-boot/releases/tag/v2.6.2

https://github.com/spring-projects/spring-boot/releases/tag/v2.5.8

重點?。?！

最值得注意的，在依賴升級中升級了 Log4j2：

為了解決 Log4j2 近期發(fā)生的核彈級漏洞，Spring Boot 之前說新版本會升級到 Log4j v2.15.0，這次直接干到了 Log4j v2.17.0，也是計劃趕不上變化。

Log4j2 漏洞終極方案

1、Spring Boot 項目

大家如果在用 2.6.x 和 2.5.x 版本線的，只需要升級到最新的 2.6.2, 2.5.8 即可：

??org.springframework.boot
??spring-boot-starter-parent
??2.6.2
??<type>pomtype>

這兩個版本都會升級到最新版本 Log4j v2.17.0：

其他的 Spring Boot 2.4.x 及以下的版本線不受支持。

當(dāng)然，如果只是為了解決 Log4j2 的漏洞而升級 Spring Boot 主版本，如果不是必須，追最新版本那大可不必，解決漏洞可以只升級 Log4j2 的版本即可。

Spring Boot 項目只要改 Log4j2 版本號：

??2.17.0

Spring Boot 基礎(chǔ)就不介紹了，推薦下這個實戰(zhàn)教程（含示例源碼）

https://github.com/javastacks/spring-boot-best-practice

2、 非 Spring Boot 項目

最新的 Maven 項目依賴：

????org.apache.logging.log4j
????log4j-core
????2.17.0

Maven 基礎(chǔ)也不介紹了，棧長之前寫了一堆，我都在公眾號Java技術(shù)棧菜單中整理好了，不會的可以參考閱讀。

Gradle 項目的升級也是同理，略。

其他如果沒用 Maven/ Gradle 的老項目可以直接替換包。

Log4j2 最新正式版本下載：

https://logging.apache.org/log4j/2.x/download.html

Spring Boot 版本支持路線圖

近期，Spring Boot 也公布了最新的版本支持路線圖：

可以看到，Spring Boot 2.4.x 及之前的版本都已經(jīng)結(jié)束免費支持了，意味著不再提供免費的安全更新和錯誤修復(fù)了，如果有需要，Spring Boot 2.2.x+ 這些還是可以提供商業(yè)支持的。

但如果你還用的 Spring Boot 2.1.x 及之前的版本，那對不起，不再提供任何支持了。

所以小伙伴們，你們用的什么版本，該用什么版本，心里該有數(shù)了，這是要逼著我們用 Spring Boot 2.5+ 了？ 從安全的角度考慮，這真的很有必要！

另外，Spring Boot 2.7.x 還有半年也要見面了，到時 2.5.x 又是下一個結(jié)束免費支持的版本線，技術(shù)更新太快，有的還沒學(xué)就要淘汰了，真是活到老學(xué)到老。。

最后，如果你還沒用過 Spring Boot，今天我就送你一份 《Spring Boot 學(xué)習(xí)筆記》這個很全了，包括底層實現(xiàn)原理及代碼實戰(zhàn)，非常齊全，助你快速打通 Spring Boot 的各個環(huán)節(jié)。

往期 Spring Boot 教程及示例源碼整理：

https://github.com/javastacks/spring-boot-best-practice

最后，如果你想關(guān)注和學(xué)習(xí)最新、最主流的 Java 技術(shù)，可以持續(xù)關(guān)注公眾號Java技術(shù)棧，公眾號第一時間推送。

我也將主流 Java 面試題和參考答案都整理好了，在公眾號后臺回復(fù)關(guān)鍵字 "面試" 進(jìn)行刷題。

版權(quán)聲明?。?！

本文系公眾號 "Java技術(shù)棧" 原創(chuàng)，轉(zhuǎn)載、引用本文內(nèi)容請注明出處，抄襲、洗稿一律投訴侵權(quán)，后果自負(fù)，并保留追究其法律責(zé)任的權(quán)利。