排除log4j依赖-处理依赖案例

已于 2022-09-21 06:40:43 修改
阅读量2.3k 收藏 2
点赞数 2
分类专栏: J2EE 文章标签: log4j
于 2022-08-02 07:17:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duke147/article/details/126114126
版权

文章目录

一、概述

【紧急通知】今日收到log4j可能有0Day漏洞报出的情报,请各单位开展以下工作:
1、请各单位梳理使用Log4j组件的系统和版本清单。重点排查对互联网提供服务的应用系统,一方面联系开发方梳理,另一方面利用白盒扫描工具获取准确清单。

二、问题描述

项目中未直接使用log4j,但是springboot内置依赖了log4j,所以需要排除log4j依赖。

三、解决方案

1.打开依赖视图

【打开pom文件】-> 【右键Maven】-> 【Show Dependencies…】

在这里插入图片描述

2.优化视图布局

【右键Layout】-> 【Orthogonal】-> 【Hierarchic】

在这里插入图片描述

3.找到依赖关系

【放大视图】(否则不会自动定位)->【ctrl + F】-> 【输入log4j】-> 【双击log4j】

在这里插入图片描述

依赖关系如图:

在这里插入图片描述

4.排除依赖

修改pom文件:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>loq4j-to-slf4j</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
码上富贵
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
log4j依赖jar包
11-01
这个压缩包包含log4j依赖jar包---------------------
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4jlog4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压到maven资源库的/org/apache/logging/log4jlog4j严重漏洞 log4j logging-log4j2-log4j-2.15.0-rc2 log4j-1.2-api-2.15.0.jar log4j-api-2.15.0.jar log4j-core-2.15.0.jar log4j-slf4j-impl-2.15.0.jar log4j-web-2.15.0.jar
日志 - Log4j依赖
最新发布
Agan__的博客
02-20 123
备忘:
有关于springboot项目如何删除指定(log4j)的jar包
weixin_44507219的博客
12-31 3451
最近最银行项目,使用的主框架是springboot,因为springboot的自动装配机制,自动把log4j的jar包导入到项目中来了,如下图: 实际上我们用的logback,并没有用到log4j,但由于最近的log4j漏洞,此jar包会对代码过审带来影响,所以最终把此log4j的jar包剔除了项目。 剔除的方法很简单,我们只要在pom.xml文件里做如下配置就OK了。 因为是在导入springboot核心依赖的时候,由于springboot的...
spring boot整合log4j
weixin_40331613的博客
01-08 144
1.在resources 下面创建 log4j.properties文件 2写入一下内容 #logger level log4j.rootCategory=DEBUG,stdout,DebugAppender,InfoAppender,ErrorAppender log4j.debug=true log4j.appender.stdout=org.apache.log4j.ConsoleAp...
IDEA Springboot整合log4j2
qq_42617840的博客
08-09 682
springboot整合log4j2全过程
关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决
Specif1c的博客
01-23 3759
前言: springboot 项目一般使用 log4j 是直接引入 spring-boot-starter-log4j 启动器依赖,但是官方提供最新的 spring-boot-starter-log4j 版本是 2016年 的,存在 log4j 远程代码执行漏洞风险。 在此我将演示如何修复启动器依赖的方法。 一、排除 spring-boot-starter-log4j 原有的相关依赖: <dependency> <groupId>org.spr
Spring Boot整合log4j实战(一):排除自带依赖、日志重定向、测试类验证
USTSD的博客
12-02 1175
〇、参考资料 1、springboot整合log4j全过程详解 https://blog.csdn.net/m0_60845963/article/details/123307232 2、Spring Boot 全局排除 spring-boot-starter-logging 依赖 https://blog.csdn.net/weixin_40690761/article/details/117...
如何处理 maven 依赖冲突
艾斯比
01-28 168
项目开发时, 会遇到相同坐标依赖, 但是不同版本的情况, 需要排除掉低版本的依赖 <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo-dependencies-zookeeper</artifactId> <version>${dubbo.version}</version> <type>pom</type>
SpringBoot及SpringCloud解决Apache Log4j任意代码执行漏洞方法,附临时紧急处理方法5选1(所有JAVA程序均可)【完全清理解决三方组件引用log4j2】
qq_36387334的博客
12-13 5079
本方法主要用于配置修改,完全清理spring boot已经去除了spring-boot-starter-log4j2并切换使用logback,打包依然发现存在log4j相关包存在的解决办法。 现阶段不建议修改log4j2版本号,首先官方目前2个修复版本均发现可以绕过,尚无稳定版本**,并且各组件还是需要考虑可能兼容等问题。(更新:可以参考临时方法5直接更新版本号)
移除项目所有jar对log4j2 依赖
峡谷电光马仔的博客
01-12 1020
前一段apache log4j2 的漏洞闹得沸沸扬扬,影响范围是Log4j 2.x <= 2.15.1-rc1,我们用的是2.12 ,所以我也是紧急切换移除了log4j2, 切换回了logback ,以后版本修复以后可以切换新版本log4j2 ,我搭建的项目是基于alibaba nacos生态圈,其中很多第三方的spring-boot-starter内部其实以及依赖log4j-api ,一个个排查肯定是没效率的,我用的是idea的插件 maven helper 大部分应该都接触过,这个可以很.
logging-log4j2-log4j-2.15.0-rc2.zip
12-13
logging-log4j2-log4j-2.15.0-rc2.zip
log4j-api-2.12.4.ja和log4j-core-2.12.4.jar
04-27
log4j-api-2.12.4.jar和log4j-core-2.12.4.jar,该版本避免log4j漏洞问题。
开发工具 log4j-core-2.3
05-31
开发工具 log4j-core-2.3开发工具 log4j-core-2.3开发工具 log4j-core-2.3开发工具 log4j-core-2.3开发工具 log4j-core-2.3开发工具 log4j-core-2.3开发工具 log4j-core-2.3开发工具 log4j-core-2.3开发工具 log4j-...
log4j2-elasticsearch:Log4j2 Elasticsearch Appender插件
03-04
log4j2-elasticsearch概述 这是log4j2附加程序插件的父项目,能够将日志批量推送到Elasticsearch集群。 最新发布的代码(1.5.x)可用。 项目包括: log4j2-elasticsearch-core实现的框架提供程序 log4j2-elastic...
Spring Boot、Spring Security升级、版本选择、安全漏洞说明
热门推荐
学习笔记
05-26 1万+
文章目录一、概述依据一:官方主维护依据二:CVE-2022-22965依据三:CVE-2022-22978二、版本选择 一、概述 依据一:官方主维护 截止(2022-05-26)为止,Spring Boot 2.5 、2.6为官方主要维护版本。 **发行说明 :**https://github.com/spring-projects/spring-boot/wiki 依据二:CVE-2022-22965 0x01漏洞详情 Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Sp
Java应用无响应、内存飙升、CPU飙升排查
学习笔记
07-26 5530
排查Java无响应,内存溢出等问题。
tomcat启动Java.Lang.NoClassDefFoundError: Org/Apache/Commons/Logging/LogFactory异常
学习笔记
12-09 4691
Problem: java.lang.NoClassDefFoundError: org/apache/commons/logging/LogFactory Solution: 这个是缺少commons-logging-xxx.jar包,可以在 commons-logging-xxx.jar官方下载地址: http://commons.apache.org/prop
HttpClient 出现 failed to respond 异常解决
学习笔记
07-02 3532
文章目录现象原因解决 现象 httpclient 在使用线程池时,偶尔出现 NoHttpResponseException 异常。 httpclient org.apache.http.NoHttpResponseException: host:端口 failed to respond 异常由 httpclient 抛出: httpcomponents-client/httpclient5/src/main/java/org/apache/hc/client5/http/impl/classic/Http
log4j2-core的依赖代码
06-03
log4j2-core的依赖代码如下: ```xml <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.14.1</version> </dependency> ``` 此外,log4j2-core还依赖于其他一些库,包括: 1. log4j-api:提供了log4j2的API接口。 2. log4j-slf4j-impl:适配器,使得使用SLF4J的应用程序可以使用log4j2作为底层日志实现。 3. log4j-jul:适配器,使得使用JUL的应用程序可以使用log4j2作为底层日志实现。 4. Apache Commons Lang:提供了一些常用的工具类。 5. Apache Commons Io:提供了对IO操作的支持。 6. Apache Commons Codec:提供了对编码和解码的支持。 7. JUnit:提供了单元测试框架。 8. Hamcrest:提供了匹配器库,用于测试中的断言。 9. Apache Log4j Instrumentation:提供了一些与Java Agent相关的功能。 以上是log4j2-core的主要依赖,具体依赖版本号可以根据实际需要进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码上富贵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值