关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决

最新推荐文章于 2023-11-19 19:42:27 发布
最新推荐文章于 2023-11-19 19:42:27 发布
阅读量4.2k 收藏 6
点赞数
分类专栏: SpringBoot 2.x.x 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haduwi/article/details/122651889
版权

前言:

springboot 项目一般使用 log4j 是直接引入 spring-boot-starter-log4j 启动器依赖,但是官方提供最新的 spring-boot-starter-log4j 版本是 2016年 的,存在 log4j 远程代码执行漏洞风险。
在这里插入图片描述
在此我将演示如何修复启动器依赖的方法。

一、排除 spring-boot-starter-log4j 原有的相关依赖:

 		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-log4j</artifactId>
            <version>1.3.8.RELEASE</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-api</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-slf4j-impl</artifactId>
                </exclusion>
                <!--排除这个slf4j-log4j12-->
                <exclusion>
                    <groupId>org.slf4j</groupId>
                    <artifactId>slf4j-log4j12</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

二、添加修复版本 2.17.1

<!-- 2.17.1修复漏洞版本 -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.17.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.17.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
            <version>2.17.1</version>
        </dependency>

三、可能会遇到如下问题:

在这里插入图片描述

SLF4J: Class path contains multiple SLF4J bindings.
SLF4J: Found binding in [jar:file:/E:/apache-maven-3.5.2/maven_repository/ch/qos/logback/logback-classic/1.2.3/logback-classic-1.2.3.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: Found binding in [jar:file:/E:/apache-maven-3.5.2/maven_repository/org/slf4j/slf4j-log4j12/1.7.30/slf4j-log4j12-1.7.30.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: Found binding in [jar:file:/E:/apache-maven-3.5.2/maven_repository/org/apache/logging/log4j/log4j-slf4j-impl/2.17.1/log4j-slf4j-impl-2.17.1.jar!/org/slf4j/impl/StaticLoggerBinder.class]
SLF4J: See http://www.slf4j.org/codes.html#multiple_bindings for an explanation.
SLF4J: Actual binding is of type [ch.qos.logback.classic.util.ContextSelectorStaticBinder]

问题形成原因:依赖冲突

解决办法:查看依赖关系图,找出发生冲突的地方,排除即可
在这里插入图片描述
关系图如下:
在这里插入图片描述

       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
            <exclusions>
                <!--排除 logging 防止报错-->
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

问题解决
在这里插入图片描述

Seata 整合多数据源dynamic-datasource-spring-boot-starter | Spring Cloud 60
gmHappy
06-30 1万+
在这篇文章中,我们使用Seata整合一下多数据源的场景。多数据源切换的功能我们使用`dynamic-datasource-spring-boot-starter`来完成,并且这个组件还可以和`Seata`进行整合,实现数据源的代理。
spring-boot-starter-logging:日志组件
05-15
如果开发者更倾向于使用Log4j2或JUL,只需将`spring-boot-starter-logging`替换为对应的`spring-boot-starter-log4j2`或`spring-boot-starter-jul`,Spring Boot会自动配置相应的日志系统。 七、日志处理器与监听器...
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
Springboot项目升级Log4j版本,修复漏洞
qq_37507261的博客
12-13 3684
排除原本jar包,引入最新版本 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.bo
springboot中使用log4j日志
qq_42418169的博客
10-15 1804
文章目录前提(删除springboot自带日志包)在pom.xml中排除掉logging添加log4j日志包在src下创建log4j.properties文件 前提(删除springboot自带日志包) 由于在Springboot中本身有自带一个spring-boot-starter-logging 日志输出包,所以在应用log4J时会导致日志冲突的情况 在pom.xml中排除掉logging <!--这是springboot启动器,我们排除logging--> <depende
Spring Boot整合log4j实战(一):排除自带依赖、日志重定向、测试类验证
USTSD的博客
12-02 1296
〇、参考资料 1、springboot整合log4j全过程详解 https://blog.csdn.net/m0_60845963/article/details/123307232 2、Spring Boot 全局排除 spring-boot-starter-logging 依赖 https://blog.csdn.net/weixin_40690761/article/details/117...
springboot 排除 默认的loggback 和slf4j的依赖
Gblfy_Blog
11-05 3619
文章目录异常现象:解决方案:总结 异常现象: SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/D:/Program%20Files/JavaEclipse/repo/ch/qos/logback/logback-classic/1.2.3/logback-classic-1.2.3.jar!/org/slf4j/impl/StaticLoggerBinder.class] SLF4J
log4jdbc-spring-boot-starter:将Log4jdbc与Spring Boot结合使用的启动器
01-31
Log4jdbc Spring Boot Starter Log4jdbc Spring Boot Starter有助于在Spring Boot项目中快速方便地使用 。 Log4jdbc特别方便,因为它可以记录准备运行SQL。 而不是用'?'记录SQL 在需要插入参数值的地方(例如,...
spring-boot-starter-samples:spring-boot-starter-samples
01-31
11. **Log4j2**:Log4j2是一个日志框架,Spring Boot starter-log4j2提供了对Log4j2的集成支持。 12. **RocketMQ**:RocketMQ是阿里巴巴开源的一款分布式消息中间件,Spring Boot starter-rocketmq帮助我们在Spring...
SpringBoot中日志的使用log4j
最新发布
YIYIYI
11-19 2154
SpringBoot中日志的使用log4j
Maven报红spring-boot-starter-log4j2
weixin_35757531的博客
01-04 531
Maven在编译项目的时候报红spring-boot-starter-log4j2的原因可能是: 在项目的pom.xml文件中,log4j2的依赖没有写对,或者没有写依赖。 当前网络不稳定,Maven无法下载到log4j2的依赖包。 本地仓库中没有log4j2的依赖包,Maven无法从本地仓库中获取依赖包。 解决方法: 在pom.xml文件中正确地写上log4j2的依赖,确保依赖的版本号、g...
springboot 使用 log4j
张小三的博客
05-25 5722
1.在pom.xmlz中移除springboot中对logback依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions> <!--移除框架中的logback依赖--> <exclusion&g
SpringBoot:spring boot log4j 配置
心有猛虎,细嗅蔷薇
07-31 585
原文链接:http://www.vxzsk.com/819.html Log4j是每个开发者比较熟悉的日志框架,所以咱们优先介绍这个。 那么如何操作呢?我们一起来看看使用过程吧。 引入log4j依赖 在创建Spring Boot工程时,我们引入了spring-boot-starter,其中包含了spring-boot-starter-logging,该依赖内容就是Spring Boot
springboot集成log4j
彦楠的博客
12-11 777
1,添加如下到pom.xml中 <!-- 移除logging --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions>
Springboot集成log4j
热门推荐
xiaoguangtouqiang的博客
01-13 1万+
log4j在项目中应该是使用的最多的日志框架了,一直没有好好去深入总结下,这篇文章记录下一些常规的用法; 1.集成 引入依赖,如下所示: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions> &lt...
springboot中如何使用log4j
cai_niao5623的博客
04-01 3042
2、创建log4j.properties文件。1、引入依赖(pom.xml)
spring-boot配置log4j(gradle)
ChinFeng的专栏
09-22 5059
spring-boot默认使用logback作为日志框架 要配置log4j,要在各种starter排除logging依赖 添加 log4j依赖 如: compile ('org.springframework.boot:spring-boot-starter-web'){ exclude module: 'spring-boot-starter-logging' } compil
SpringBoot整合log4j
白玉灬风的博客
07-12 153
一、首先需要移除pom文件下spring-boot-starter默认的日志依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions>
spring-boot-dependencies作为版本控制,解决log4j2漏洞
dian_dian_tou的博客
01-08 720
简单的做一下记录: 前阵子突然有Log4j的高危漏洞,所以公司让我处理一下这个问题。 其实不单单只是对引用的Log4j的版本升级,更该关注的是其他依赖中是否有引用Log4j,且做到统一版本,这里我是将公司的父工程项目(medical-parent)的Log4j版本升级到<log4j2.version>2.17.1</log4j2.version> 修改springboot默认的依赖,以spring-boot-dependencies作为版本控制,需要在spring-boo
spring-boot-starter-web报黄报漏洞
08-29
- *2* [关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决](https://blog.csdn.net/haduwi/article/details/122651889)[target="_blank" data-report-click={"spm":"1018.2226.3001....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

m0rta1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值