Log4j安全漏洞前车之鉴,呕心整理工作中常用开源组件避坑版本
背景
前段时间log4j安全漏洞事件,可以说掀起了一场"血雨腥风",正好最近做了一个项目对安全要求特别高,对有安全漏洞开源组件做了统一修复。特此总结,希望对大家以后选择组件版本时有所帮助。 开源组件
工作中常用开源组件版本推荐,建议不要低于推荐版本,可以避免一些安全漏洞。
组件坐标
推荐版本
备注
commons-collections:commons-collections
3.2.2
com.thoughtworks.xstream:xstream
1.4.18
com.alibaba:dubbo
2.6.10.1
com.alibaba:fastjson
1.2.78
最好不用,使用jackson替代
log4j:log4j
1.2.17-cloudera1
最好不用,使用logback替代
org.slf4j:slf4j-log4j12
1.7.26
最好不用,使用logback替代
Spring Framework
5.3.13
Spring Boot
2.6.0
org.codehaus.jackson:jackson-mapper-asl
1.9.13-cloudera.1
com.fasterxml.jackson.core:jackson-databind
2.13.0
io.vertx:vertx-XXX
3.9.7
org.apache.shiro:shiro-web
org.apache.shiro:shiro-core
1.8.0
ch.qos.logback:logback-classic
1.2.7
commons-fileupload:commons-fileupload
1.3.1-jenkins-2
mysql:mysql-connector-java
5.1.49 或者 8.0.27
org.java-websocket:Java-WebSocket
1.5.2
commons-beanutils:commons-beanutils
1.9.4
org.apache.commons:commons-email
1.5
org.freemarker:freemarker
2.3.31
addressable
2.8.0
com.google.protobuf:protobuf-java
3.6.1.3-2+b3
com.alibaba:druid-spring-boot-starter
1.2.8
io.netty:netty-XXX
4.1.70
com.squareup.okhttp3:okhttp
3.12.2
com.google.guava:guava
31.0.1-android,30.1.1-jre
commons-io:commons-io
2.11.0
commons-httpclient:commons-httpclient
5.2-alpha1
commons-codec:commons-codec
1.14,1.15,1.16-SNAPSHOT
org.apache.commons:commons-lang3
3.4
org.apache.thrift:libthrift
0.14.0
org.apache.poi:poi-excelant
4.1.2
org.apache.poi:poi:
4.1.2
org.apache.kafka:kafka-clients
1.0.1.3.0.0.18-4
com.itextpdf.tool:xmlworker
5.5.12
org.hibernate:hibernate-validator
6.0.20.Final
org.springframework.cloud:spring-cloud-starter-openfeign
2.2.10.RELEASE
org.springframework.security:spring-security-crypto
5.4.7
org.mybatis:mybatis
3.5.6
jquery
3.5.0
junit:junit
4.13.2
org.apache.rocketmq:rocketmq
4.6.1
codemirror
5.58.2
org.glassfish:jakarta.el
3.0.3.jbossorg-4
org.mongodb:mongo-java-driver
3.11.3
宁德时代的曾毓群为什么财富增长这么快?曾毓群,被誉为马斯克背后的男人!最新的2021胡润百富榜显示,宁德时代掌门人曾毓群,身家高达3200亿元,相较去年增长2000亿元,已经超过李嘉诚成为香港首富,同时也超过马云和马化
中国电信起诉路透社16日报道称,中国电信美洲公司已向哥伦比亚特区联邦巡回上诉法院提起诉讼,要求法院撤回美国联邦通信委员会(FCC)撤销该公司在美国运营授权的决定。中国电信美洲公司在起诉书中表示
腾讯北京总部大楼,亚洲最大单体办公楼腾讯成立于1998年11月,由马化腾张志东许晨晔陈一丹曾李青五位创始人共同创立。腾讯多元化的服务包括社交和通信服务QQ及微信WeChat社交网络平台QQ空间腾讯游戏旗下QQ游戏平台
人民财评对词典类APP的差错不能掉以轻心本该指导学生的学习工具词典工具,却误人子弟,实在令人遗憾。究其原因,恐怕还是在于相关商业机构在组织此类APP研发时不够专业严谨。推出APP的不是慈善机构,其目的是通过吸引扩大用户群
为什么双耳戴助听器会听得特别清楚?对于言语的理解,立体声效果是最佳,而双耳佩戴助听器可达到立体声的效果还有声源定位能力,有益于辨别方向减少头颅对高频声的阻碍,提高言语清晰度提高总体声音响度,保护残余听力,这些都是双
杀毒软件公司调查每5名俄罗斯人中就有一人希望成为黑客据俄罗斯卫星通讯社报道,ESET杀毒软件公司的调查研究显示,每5名俄罗斯人当中就有一人希望成为黑客,其中,18至24岁人群对这一职业最感兴趣。针对1000多名来自俄罗斯百万人口城市
腾讯员工因每天在岗不足8小时被辞,反诉要加班费等500余万当今社会上,说到工作的主要力量,当属7090后,在当初80后成长起来的时候,很多人都觉得他们不能扛住社会的重任。但是真正等80后进入到社会后,我们发现,其潜能是非常高的,现如今这代
刚刚,腾讯向UP主道歉了最近,有大量B站up主发布了维权视频,称腾讯内容开放平台的黎明计划存在侵权行为。据上千位B站up主描述自己参加黎明计划的始末腾讯会外包给MCN签约b站5万粉丝以上up主,给2002
居家好物,打破传统方式,一键得出测量数据,米家测距仪体验来了不知道你有没有发现,不管你家里是不是正在装修,家里都必须必备一些像螺丝刀卷尺这些工具,虽然我们平常也不装修不干木工活,使用这些工具的机会很少,但是只要需要用这种东西了,家里没有就会
马斯克和华为杠上了半夜发文怒怼,华为不讲武德提起马斯克相信大家都不陌生,他不仅拥有着富可敌国的财富,而且还在航空航天领域以及新能源汽车领域拥有很高的成就他旗下的SpaceX公司是全世界第一家民营太空火箭公司,此外其特斯拉也是
七成用户难以忍受电视开机广告!为何无法叫停?荣耀赵明道出真相电视广告是近年来行业和用户持续关注的重点,根据人民网财经研究院发布的2021年智能电视开关机广告调研报告显示,有超过89。9的被调查者表示,自家智能电视含有开关机广告,没有开关机广