关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决

最新推荐文章于 2023-08-22 15:08:35 发布
最新推荐文章于 2023-08-22 15:08:35 发布
阅读量3.9k 收藏 6
点赞数
分类专栏: SpringBoot 2.x.x 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haduwi/article/details/122651889
版权

前言:

springboot 项目一般使用 log4j 是直接引入 spring-boot-starter-log4j 启动器依赖,但是官方提供最新的 spring-boot-starter-log4j 版本是 2016年 的,存在 log4j 远程代码执行漏洞风险。
在这里插入图片描述
在此我将演示如何修复启动器依赖的方法。

一、排除 spring-boot-starter-log4j 原有的相关依赖:

 		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-log4j</artifactId>
            <version>1.3.8.RELEASE</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-api</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-slf4j-impl</artifactId>
                </exclusion>
                <!--排除这个slf4j-log4j12-->
                <exclusion>
                    <groupId>org.slf4j</groupId>
                    <artifactId>slf4j-log4j12</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

二、添加修复版本 2.17.1

<!-- 2.17.1修复漏洞版本 -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.17.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.17.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
            <version>2.17.1</version>
        </dependency>

三、可能会遇到如下问题:

在这里插入图片描述

SLF4J: Class path contains multiple SLF4J bindings.
SLF4J: Found binding in [jar:file:/E:/apache-maven-3.5.2/maven_repository/ch/qos/logback/logback-classic/1.2.3/logback-classic-1.2.3.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: Found binding in [jar:file:/E:/apache-maven-3.5.2/maven_repository/org/slf4j/slf4j-log4j12/1.7.30/slf4j-log4j12-1.7.30.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: Found binding in [jar:file:/E:/apache-maven-3.5.2/maven_repository/org/apache/logging/log4j/log4j-slf4j-impl/2.17.1/log4j-slf4j-impl-2.17.1.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: See http://www.slf4j.org/codes.html#multiple_bindings for an explanation.
SLF4J: Actual binding is of type [ch.qos.logback.classic.util.ContextSelectorStaticBinder]

问题形成原因:依赖冲突

解决办法:查看依赖关系图,找出发生冲突的地方,排除即可
在这里插入图片描述
关系图如下:
在这里插入图片描述

       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
            <exclusions>
                <!--排除 logging 防止报错-->
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

问题解决
在这里插入图片描述

m0rta1
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1344
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
2401_83916326的博客
04-18 825
当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。为了解决 Log4j2 近期发生的核弹级漏洞Spring Boot 之前说新版本会升级到 Log4j v2.15.0,其中囊括了JVM、锁、并发、Java反射、Spring原理、微服务、Zookeeper、数据库、数据结构等大量知识点。其他的 Spring Boot 2.4.x 及以下的版本线不受支持。Gradle 项目的升级也是同理,略。
spring boot整合log4j
weixin_40331613的博客
01-08 155
1.在resources 下面创建 log4j.properties文件 2写入一下内容 #logger level log4j.rootCategory=DEBUG,stdout,DebugAppender,InfoAppender,ErrorAppender log4j.debug=true log4j.appender.stdout=org.apache.log4j.ConsoleAp...
Binlog4j 1.1.0 发布,基于 Java 轻量级 Mysql (Mariadb) Binlog 客户端
weixin_43927809的博客
08-22 712
基于 Java 轻量级 Mysql Binlog 客户端
log4j依赖jar包
11-01
这个压缩包包含log4j依赖jar包---------------------
有关于springboot项目如何删除指定(log4j)的jar包
weixin_44507219的博客
12-31 3573
最近最银行项目,使用的主框架是springboot,因为springboot的自动装配机制,自动把log4j的jar包导入到项目中来了,如下图: 实际上我们用的logback,并没有用到log4j,但由于最近的log4j漏洞,此jar包会对代码过审带来影响,所以最终把此log4j的jar包剔除了项目。 剔除的方法很简单,我们只要在pom.xml文件里做如下配置就OK了。 因为是在导入springboot核心依赖的时候,由于springboot的...
Springboot项目升级Log4j版本,修复漏洞
qq_37507261的博客
12-13 3641
排除原本jar包,引入最新版本 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.bo
IDEA中gradle查看依赖关系树 去掉重复的依赖 比如log4j和重复的log依赖
qijingpei的博客
01-01 9537
IDEA中gradle查看依赖关系树 去掉重复的依赖 比如log4j和重复的log依赖
spring-boot-starter-log4j2
09-25
"spring-boot-starter-log4j2"就是Spring BootLog4j2提供的一个启动器,包含了Log4j2运行所需的jar包。当我们添加这个依赖到项目中,Spring Boot会自动配置Log4j2,无需手动进行繁琐的初始化设置。 三、集成步骤 ...
log4jdbc-spring-boot-starter:将Log4jdbc与Spring Boot结合使用的启动器
01-31
Log4jdbc Spring Boot Starter Log4jdbc Spring Boot Starter有助于在Spring Boot项目中快速方便地使用 。 Log4jdbc特别方便,因为它可以记录准备运行SQL。 而不是用'?'记录SQL 在需要插入参数值的地方(例如,...
spring-boot-starter-samples:spring-boot-starter-samples
01-31
11. **Log4j2**:Log4j2是一个日志框架,Spring Boot starter-log4j2提供了对Log4j2的集成支持。 12. **RocketMQ**:RocketMQ是阿里巴巴开源的一款分布式消息中间件,Spring Boot starter-rocketmq帮助我们在Spring...
log4j依赖jar包
04-29
web项目常用的日志框架依赖,内含log4j-1.2.17.jar、log4j-api-2.0-rc1.jar和log4j-core-2.0-rc1.jar
logback-classic-1.2.10-API文档-中英对照版.zip
05-02
赠送jar包:logback-classic-1.2.10.jar; 赠送原API文档:logback-classic-1.2.10-javadoc.jar; 赠送源代码:logback-classic-1.2.10-sources.jar; 赠送Maven依赖信息文件:logback-classic-1.2.10.pom; 包含翻译后的API文档:logback-classic-1.2.10-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:ch.qos.logback:logback-classic:1.2.10; 标签:classic、qos、logback、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
spring-boot-starter-mybatis-spring-boot-1.3.5.zip
最新发布
04-19
MyBatis支持多种日志实现,如SLF4J、Log4j等。根据项目需求,我们在配置文件中选择合适的日志实现,并设置相应的日志级别。 总结,Spring Boot 1.3.5版本集成MyBatis,主要涉及依赖管理、数据源配置、MyBatis配置...
spring-boot-starter-mybatis-spring-boot-1.2.1.zip
04-19
Spring Boot Starter MyBatis是Spring Boot为简化MyBatis集成而提供的启动器,它包含了MyBatis、MyBatis-Spring以及相关依赖,使得开发者可以快速地在Spring Boot项目中启用MyBatis功能。 2. **集成步骤** - ...
spring boot解决log4j2漏洞升级问题
07-14 1073
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
Log4j2 日志 依赖 jar包 缺失 导致启动报错 解决方法
skipple11的博客
12-05 3054
Log4j2 日志 依赖 disruptor 包 错误 解决方法
解决Maven依赖冲突的好帮手,这款IDEA插件了解一下?
xcbeyond|疯狂源自梦想,技术成就辉煌
10-09 440
点击上方“程序猿技术大咖”,关注加群讨论作者丨桔子214032来源丨segmentfault.com/a/11900000175423961、何为依赖冲突Maven是个很好用的依赖管理工...
关于slf4j log4j log4j2的jar包配合使用的那些事
weixin_30724853的博客
07-26 726
由于java日志框架众多(common-logging,log4j,slf4j,logback等),引入jar包的时候,就要为其添加对应的日志实现。。 不同的jar包,可能用了不同的日志框架,那引用了之后就得给不同的日志框架添加配置,这个是比较麻烦的。 slf4j就是为了解决这个麻烦事的。 slf4j全称为Simple Logging Facade for JAVA,jav...
spring-boot-starter-web报黄报漏洞
08-29
- *2* [关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决](https://blog.csdn.net/haduwi/article/details/122651889)[target="_blank" data-report-click={"spm":"1018.2226.3001....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

m0rta1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值