log4j漏洞处理
由于Apache log4j出现漏洞,为避免对JEPaaS平台的影响,根据Apache 官网提供的修复jar包,针对性修复JEPaaS平台中涉及到的 log4j jar包
修复内容
修复内容包括商业版、推送服务及源码。商业版修改的位置如下:
- 商业版修改je-base的pom.xml依赖(更新Gitee代码)
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>alibaba-dingtalk-service-sdk</artifactId>
<exclusions>
<exclusion>
<artifactId>log4j</artifactId>
<groupId>log4j</groupId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.0</version>
</dependency>
<!-- WEB安全-ESAPI -->
<dependency>
<groupId>org.owasp.esapi</groupId>
<artifactId>esapi</artifactId>
</dependency>- 修改项目最外层pom.xml依赖
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>alibaba-dingtalk-service-sdk</artifactId>
<version>2.0.0</version>
</dependency>push推送服务包替换jar包 (原来的jar包2.10.0版本删除,添加新的jar包)
源码客户请登录账号拉取最新的代码,最新的修复已经更新及推送到相关代码分支
最后编辑: 呼丽华 文档更新时间: 2024-03-05 11:49 作者:呼丽华
