springboot升级log4j2,解决漏洞问题

最新推荐文章于 2023-05-28 10:49:45 发布
最新推荐文章于 2023-05-28 10:49:45 发布
阅读量2k 收藏 4
点赞数
分类专栏: 前端 html 文章标签: css http bootstrap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/geinvse_seg/article/details/123214459
版权

最近log4j2爆出有重大漏洞问题,公司也紧急要求各个项目自己查验,要求将log4j的版本升到安全版本

目前我们使用的是springboot 1.5.9版本,内置log4j2是2.7的版本,虽然整合了mybatis,但是log4i的版本依然是以springboot内置为主

2个方案,一个是官方提供的,个人推荐,另一个是根据网上的总结出来的,测试结果也是对的

方法一:spring官网推荐(强烈建议用官网的)

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
官网介绍了2种情况,

情况一:直接用soringboot父pom的,类似如下的(推荐如下方式)
	<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.5.9.RELEASE</version>
        <relativePath/> 
    </parent>

这种情况下的,就需要在自己项目的pom.xml文件中添加如下代码

<properties>
    <log4j2.version>2.16.0</log4j2.version>
</properties>

若果自己项目的pom.xml文件里已经有<properties>标签了,就自行在里面添加<log4j2.version>2.16.0</log4j2.version>,版本自己选择,最好是>=2.15版本

这边补充一下原因,<properties>可以覆盖父类pom文件里引入的依赖的版本
改完以后,可以自己看下自己项目的依赖版本是否升级了,我这边是选择升级到2.15的版本
用这种方式的好处是,你不需要一个一个去找,基本只要父pom设置好了,其他的基本就会同步升级
在这里插入图片描述

最低0.47元/天 解锁文章
geinvse_seg
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
2301_76225404的博客
04-05 811
作为一名即将求职的程序员,面对一个可能跟近些年非常不同的 2019 年,你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?就目前大环境来看,跳槽成功的难度比往年高很多。一个明显的感受:今年的面试,无论一面还是二面,都很考验Java程序员的技术功底。最近我整理了一份复习用的面试题及面试高频的考点题及技术点梳理成一份“Java经典面试问题(含答案解析).pdf和一份网上搜集的“Java程序员面试笔试真题库.pdf。
Spring Boot应对Log4j2注入漏洞官方指南
码农小胖哥
12-11 2040
Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。默...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
springboot_log4j2下载
01-11
spring boot 集成log4j2工程,多环境下使用不同的log4j2配置文件。 对应的博客地址:http://blog.csdn.net/woniu211111/article/details/54347846
springboot+mybatis+log4j2
05-29
springboot+mybatis+log4j2,不用本身的logback,改用log4j2来实现日志记录
Springboot整合log4j2日志全解总结
08-26
主要介绍了Springboot整合log4j2日志全解总结,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot框架配置log4jlog4j2的配置代码
11-29
SpringBoot框架配置log4jlog4j2的配置代码,项目中用到的配置文件,可下载使用
SpringBoot日志升级Log4j2
天然玩家的博客
12-21 1001
Log4j2日志升级:2.17.0
springboot log4j升级log4j2
Mint6的博客
05-13 1503
log4j2升级步骤 在多线程情况下,使用log4j可能会阻塞其他线程,从而导致整体性能下降并出现性能瓶颈。所以需要升级到性能更好并支持异步的log4j2
spring boot升级log4j2.version
fenyu8的专栏
04-02 1349
log4j2漏洞问题,需要把spring boot的log4j2版本升级到2.16.0,可以用<log4j2.version>对版本进行升级, <properties> <log4j2.version>2.16.0</log4j2.version> </properties> 更新后,可以看到所引用的log4j2包已更新到指定版本 为什么Spring Boot项目加上<log4j2.vers.
Spring Boot 2.6.2 发布:升级log4j2到2.17.0
q1472750149的博客
12-23 1178
前言 12月22日,Spring官方发布了Spring Boot 2.6.2版本,此版本包括55个错误修复、文档改进和依赖项升级。 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.6.2</version> <rel
Log4j笔记 第九章 封装Log4j
03-21
NULL 博文链接:https://mwhgjava.iteye.com/blog/930106
log4j log4j2 2.15.0漏洞解决
12-10
log4j2 2.15.0解决漏洞
springboot 高版本后继续使用log4j的完美解决方法
08-28
主要介绍了 springboot 高版本后继续使用log4j解决方法,需要的朋友可以参考下
【bug 教学】Non-parseable POM log4j-bom-2.13.3.pom: unexpected markup <!d (position: START_DOCUMENT seen
quentien的博客
05-28 1018
解决加载 maven项目时,使用提供的仓库,报错Non-parseable POM log4j-bom-2.13.3.pom: unexpected markup
Log4j 2环境配置和适配组件配置(maven/ivy/gradle)
weixin_30664615的博客
10-03 198
Log4j 2环境配置和适配组件配置(maven/ivy/gradle) 本文译自: http://logging.apache.org/log4j/2.x/maven-artifacts.html 详细目录 Apache Log4j 2 中文文档 所需环境 Log4j 2.4及更高的版本至少需要Java 7,...
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9853
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
52. spring boot日志升级篇—log4j多环境不同日志级别的控制【从零开始学Spring Boot】...
weixin_33804990的博客
06-24 89
在上一章节中我们介绍了,仅通过log4j-spring.properties对日志级别进行控制,对于需要多环境部署的环境不是很方便,可能我们在开发环境大部分模块需要采用DEBUG级别,在测试环境可能需要小部分采用DEBUG级别,而在生产环境时我们又希望采用INFO级别。这个时候,我们要自己手工编辑log4j-spring.properties文件来调整日志级别,不论在版本库中默认保...
spring boot 升级log4j
qqtbqq的博客
12-14 1730
1、去除springboot自带的组件包 <exclusions><!-- 去掉springboot默认配置 --> <exclusion> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> .
springboot依赖log4j
最新发布
09-05
在Spring Boot中使用Log4j的方法如下: 1. 在pom.xml文件中引入log4j的依赖: ``` <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-log4j --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j</artifactId> <version>1.3.8.RELEASE</version> </dependency> ``` 2. 关闭Spring Boot自带的Logback依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <!-- exclude Logback --> <exclusions> <exclusion> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-logging</artifactId> </exclusion> </exclusions> </dependency> ``` 3. 创建一个测试类,并在该类中使用Logger记录日志: ```java package com.boot.zhiyi.logTest; import org.junit.Test; import org.junit.runner.RunWith; import org.springframework.boot.test.context.SpringBootTest; import org.springframework.test.context.junit4.SpringRunner; import org.slf4j.Logger; import org.slf4j.LoggerFactory; @RunWith(SpringRunner.class) @SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT) public class logTest { private Logger logger = LoggerFactory.getLogger(this.getClass()); @Test public void testLog() { logger.error("用户为绑定就开始缴费"); } } ``` 通过以上步骤,你就可以在Spring Boot项目中使用Log4j来记录日志了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [springBoot使用log4j详解](https://blog.csdn.net/zhiyikeji/article/details/85955010)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值