log4j漏洞处理

由于Apache log4j出现漏洞,为避免对JEPaaS平台的影响,根据Apache 官网提供的修复jar包,针对性修复JEPaaS平台中涉及到的 log4j jar包

修复内容

修复内容包括商业版、推送服务及源码。商业版修改的位置如下:

  1. 商业版修改je-base的pom.xml依赖(更新Gitee代码)
<dependency>
    <groupId>com.aliyun</groupId>
    <artifactId>alibaba-dingtalk-service-sdk</artifactId>
    <exclusions>
        <exclusion>
            <artifactId>log4j</artifactId>
            <groupId>log4j</groupId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>

<!-- WEB安全-ESAPI -->
<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
</dependency>
  1. 修改项目最外层pom.xml依赖
<dependency>
        <groupId>com.aliyun</groupId>
        <artifactId>alibaba-dingtalk-service-sdk</artifactId>
        <version>2.0.0</version>
</dependency>
  1. push推送服务包替换jar包 (原来的jar包2.10.0版本删除,添加新的jar包)

  2. 源码客户请登录账号拉取最新的代码,最新的修复已经更新及推送到相关代码分支

最后编辑: 呼丽华  文档更新时间: 2024-07-05 09:35   作者:呼丽华