จากปัญหาของ Log4j core ที่มีช่องโหว่ในการโจมตี จาก CVE-2021-44228
ซึ่งทาง Spring ได้ออกมาอธิบาย
รวมทั้งวิธีการตรวจสอบ แก้ไขต่าง ๆ ไว้ดังนี้
หลัก ๆ ปัญหานี้ถูกแก้ไขแล้วใน Log4J version 2.15.0
สำหรับคนที่ใช้งาน Spring Boot แบบ default ในการพัฒนา
จะไม่ได้รับผลกระทบ เพราะว่าไม่ได้ใช้งาน Log4j-core นั่นเอง
แต่ถ้าใครเปลี่ยน default logging มาเป็น Log4j
แน่นอนว่าได้รับผลกระทบแน่นอน
ซึ่งจำเป็นต้อง upgrade ไปใช้ log4j version 2.15.0
สำหรับ project ที่ใช้งานผ่าน Apache Maven
ให้ทำการตรวจสอบ version ของ log4j ดังนี้
mvn dependency:list | grep log4j
ส่วน Gradle ก็ตรวจสอบดังนี้
gradle dependencyInsight --dependency log4j-core
สำหรับ project ที่ไม่สามารถแก้ไข code หรือ dependency ได้
ก็ให้แก้ไข environment variable ในไฟล์ property
log4j2.formatMsgNoLookups=true
หรือใน environment variable ดังนี้
java -Dlog4j2.formatMsgNoLookups=true -jar myapp.jar
