【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞

于 2024-06-24 06:50:30 发布
阅读量444 收藏 6
点赞数 3
文章标签: spring boot log4j 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85112749/article/details/139911238
版权

最值得注意的,在依赖升级中升级了 Log4j2:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞

为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,这次直接干到了 Log4j v2.17.0,也是计划赶不上变化。

Log4j2 漏洞终极方案

=============

1、Spring Boot 项目

================

大家如果在用 2.6.x 和 2.5.x 版本线的,只需要升级到最新的 2.6.2, 2.5.8 即可:

org.springframework.boot

spring-boot-starter-parent

2.6.2

pom

这两个版本都会升级到最新版本 Log4j v2.17.0:

终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞

其他的 Spring Boot 2.4.x 及以下的版本线不受支持。

当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。

Spring Boot 项目只要改 Log4j2 版本号:

<log4j2.version>2.17.0</log4j2.version>

Spring Boot 基础就不介绍了,推荐下这个实战教程(含示例源码):

https://github.com/javastacks/spring-boot-best-practice

2、 非 Spring Boot 项目

===================

最新的 Maven 项目依赖:

org.apache.logging.log4j

log4j-core

2.17.0

Gradle 项目的升级也是同理,略。

其他如果没用 Maven/ Gradle 的老项目可以直接替换包。

Log4j2 最新正式版本下载:

最后

分享一些系统的面试题,大家可以拿去刷一刷,准备面试涨薪。

这些面试题相对应的技术点:

  • JVM
  • MySQL
  • Mybatis
  • MongoDB
  • Redis
  • Spring
  • Spring boot
  • Spring cloud
  • Kafka
  • RabbitMQ
  • Nginx

大类就是:

  • Java基础
  • 数据结构与算法
  • 并发编程
  • 数据库
  • 设计模式
  • 微服务
  • 消息中间件

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?

程序员,每个月给你发多少工资,你才会想老板想的事?
[外链图片转存中…(img-7CGd065f-1719183018195)]

[外链图片转存中…(img-n8SJjYaJ-1719183018195)]

[外链图片转存中…(img-r9xO3bTz-1719183018195)]

[外链图片转存中…(img-ZwBNsJBF-1719183018196)]

2401_85112749
关注
终于,Spring Boot 发布最新版一招解决 Log4j2 核弹漏洞
m0_65618219的博客
12-23 1368
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2核弹漏洞Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
Spring boot log4j
Alibert的专栏
12-17 646
引入log4j依赖 在创建Spring Boot工程时,我们引入了spring-boot-starter,其中包含了spring-boot-starter-logging,该依赖内容就是Spring Boot默认的日志框架Logback,所以我们在引入log4j之前,需要先排除该包的依赖,再引入log4j的依赖,就像下面这样: 忽略自带的日志框架. -->         depende
一行配置解决Spring Boot项目的log4j2核弹漏洞
最新发布
m0_74931167的博客
04-12 279
这个月马上就又要过去了,还在找工作的小伙伴要做好准备了,小编整理了大厂java程序员面试涉及到的绝大部分面试题及答案,希望能帮助到大家一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
一行配置搞定Spring Boot项目的 log4j2 核弹漏洞
HollisChuang's Blog
12-12 295
相信昨天,很多小伙伴都因为Log4j2的史诗漏洞忙翻了吧?看到群里还有小伙伴说公司里还特别建了800+人的群在处理...好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影...
spring boot解决log4j2漏洞问题
07-14 1102
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
热门推荐
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变
Tom弹架构
12-20 1922
1 事件背景 经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。 相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9974
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
50. spring Boot日志升篇—log4j【从零开始学Spring Boot
杜海的博客
01-03 822
Log4j是每个开发者比较熟悉的日志框架,所以咱们升篇中优先介绍这个。 那么如何操作呢?我们一起来看看使用过程吧。 引入log4j依赖 在创建spring Boot工程时,我们引入了spring-boot-starter,其中包含了spring-boot-starter-logging,该依赖内容就是Spring Boot默认的日志框架Logback,所以我们在引入log4j之前,需要
log4j2(spring-boot-starter-log4j2)高危漏洞
qq984676583的博客
12-14 1097
2021-12-14今天大家都很忙吧!因为出现了log4j2的高危漏洞,大家都在修复代码吧 废话不多说,上代码 1、pom.xml文件配置中 <!-- 引入log4j2依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </d
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4115
spring-boot-starter-log4j2漏洞修复方式
Spring Boot发布2.6.2、2.5.8:升log4j2到2.17.0
程序猿DD
12-22 2445
12月22日,Spring官方发布Spring Boot 2.5.8(包括46个错误修复、文档改进和依赖项升)和2.6.2(包括55个错误修复、文档改进和依赖项升)。 这两个版本均为缺陷修复版本,值得注意的是再这两个版本中更新了最近困扰大家的log4j2版本升,如果正在使用log4j2的小伙伴,可以做此升。 2.6.2版本内容 用户已经可以通过下面的Maven坐标获取2.6.2的依赖: <parent> <groupId>org.springframework.boot
Spring-Boot项目 修复log4j漏洞
李康的博客
07-25 692
Spring-Boot项目 修复log4j漏洞。通过替换日志组件来修复漏洞
Spring Boot 2 集成log4j2日志框架
码农小胖哥
10-09 1677
前言 Log4j2Log4j 的进化版本,并提供了许多 Logback 可用的改进,同时解决了 Logback 体系结构中的一些固有问题。而且日志处理中我们会用到kafka作为日志管道。而kafka客户端依赖与Logback的兼容不是很完美,你可以选择排除依赖冲突或者使用Log4j2Spring Boot 2.x默认使用Logback日志框架,要使用 Log4j2必须先排除 Logb...
spring bootlog4j2.version
fenyu8的专栏
04-02 1392
log4j2漏洞问题,需要把spring bootlog4j2版本升到2.16.0,可以用<log4j2.version>对版本进行升, <properties> <log4j2.version>2.16.0</log4j2.version> </properties> 更新后,可以看到所引用的log4j2包已更新到指定版本 为什么Spring Boot项目加上<log4j2.vers.
springboot 日志管理之 log4j2
m0_52542073的博客
10-03 5233
log4j2 日志框架详解,一文让你轻松学会 log4j2 的使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值