「问题记录」springboot项目中的log4j漏洞修复

已于 2023-01-17 16:56:47 修改
阅读量2.2k 收藏 1
点赞数
分类专栏: 问题记录 文章标签: java spring boot spring log4j漏洞
于 2021-12-28 12:07:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxn39830435731415926/article/details/122190144
版权

介绍语

本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发!

望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊

如果码友觉得代码太长,可以从头到尾快速扫射一遍,了解大概即可。觉得有用后再转发收藏,以备不时之需。

正文:

springboot项目中的log4j漏洞修复

该文章对应的视频教程:(4条消息) 「问题记录」springboot项目中的log4j漏洞修复视-CSDN直播https://live.csdn.net/v/183434

最近log4j的漏洞新闻真是人人皆知啊,今天接到领导通知,去年做的项目需要解决log4j的漏洞问题,在此记录分下给各位码友。

springboot项目中引入log4j,需要把log4j升级到最新版本,具体操作如下:

log4j最新版本号

(当前2021-12-27时是2.17.0版本)

 <log4j.version>1.2.17</log4j.version>
 ​
 <log4j-api.version>2.17.0</log4j-api.version>
 <log4j-core.version>2.17.0</log4j-core.version>
 <log4j-jul.version>2.17.0</log4j-jul.version>
 <log4j-slf4j-impl.version>2.17.0</log4j-slf4j-impl.version>
 <log4j-to-slf4j.version>2.17.0</log4j-to-slf4j.version>
 <log4j-1.2-api.version>2.17.0</log4j-1.2-api.version>
 <log4j-web.version>2.17.0</log4j-web.version>

首先查看项目中有那些log4j包

然后再把相应的包单独配置最新版本

<dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-api</artifactId>
   <version>${log4j-api.version}</version>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-core</artifactId>
   <version>${log4j-core.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-jul</artifactId>
   <version>${log4j-jul.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-slf4j-impl</artifactId>
   <version>${log4j-slf4j-impl.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-core</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-to-slf4j</artifactId>
   <version>${log4j-to-slf4j.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-web</artifactId>
   <version>${log4j-web.version}</version>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-1.2-api</artifactId>
   <version>${log4j-1.2-api.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>

排除springboot中依赖的低版本jar包

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-web</artifactId>
   <exclusions>
     <exclusion>
       <groupId>org.springframework</groupId>
       <artifactId>spring-web</artifactId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-to-slf4j</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <!-- 引入log4j2 -->
 <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-log4j2</artifactId>
   <exclusions>
     <exclusion>
       <groupId>org.apache.logging.log4j</groupId>
       <artifactId>log4j-api</artifactId>
     </exclusion>
     <exclusion>
       <groupId>org.apache.logging.log4j</groupId>
       <artifactId>log4j-core</artifactId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-jul</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-slf4j-impl</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
var code = "e7bd473b-74c1-465e-8a09-9c6bf840c390"

鄙人编码十年多,在项目中也积累了一些工具类,很多工具类在每个项目都有在用,很实用。大部分是鄙人封装的,有些工具类是同事封装的,有些工具类已经不记得是ctrl+c的还是自己封装的了,现在有空就会总结项目中大部分的工具类,分享给各位码友。如果文章中涉及的代码有侵权行为请通知鄙人处理。

计划是先把工具类整理出来,正所谓工欲善其事,必先利其器。项目中不管是普通单体项目还是多模块maven项目或是分布式微服务,一部分功能模块都是可以重用的,工具类模块就是其中之一。

程序员阿宁
关注
专栏目录
log4j漏洞复现(CVE-2021-44228)
qq_32445755的博客
01-13 565
Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境的配置。但在实现的过程,并未对输入进行严格的判断,从而造成漏洞的发生。
使用java导出pdf文件
qq_36463919的博客
07-30 4171
使用java导出pdf文件
Java工具类」BeanCopyUtil对象复制工具类
热门推荐
Java Farmer
10-31 1万+
介绍语 本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发! 望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据台系统等。技术才是程序猿的最爱,码友们冲啊 如果码友
Springboot 修改Tomcat版本 修复Tomcat CVE-2024-21733 漏洞
最新发布
拉丁解牛技术专栏
08-15 729
修改Springboot Tomcat内置版本,修复Tomcat 漏洞,网络安全问题
实战演练 | 使用 Navicat 进行 MySQL 数据同步
Navicat 官方账号
07-20 7437
数据库数据同步通常由数据库管理员或数据库工程师操作。他们可以根据企业的需求,制定数据库数据同步的方案,并实施相关的操作,以确保数据库数据的一致性。Navicat 的数据同步功能适用于 MySQL、Oracle、PostgreSQL、SQL Server、MariaDB、SQLite 和 MongoDB。Navicat Premium 和 Navicat for MySQL 均支持 MySQL 与 MariaDB 之间的同步。如果你还有其他技术问题,欢迎随时与我们取得联系。
Java实现PDF导出
10000guo的博客
08-26 4097
pdf导出,java导出pdf,动态数据pdf
java导出pdf文件工具类
千里之行,始于足下
12-08 8439
最近频繁用到itextpdf将数据导出为pdf文件,每次都要写一些基本的方法,太麻烦,就写了一个工具类,可以降低代码的冗余 下面是工具类: 首先引入itextpdf jar包,然后引入下面工具类: import java.io.File; import java.io.IOException; import java.util.List; import com.itextpdf.text.B
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 2003
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境的配置。
log4j2日志漏洞解决
六月Bing的博客
12-22 3931
日志的作用 日志记录主要用来监视代码变量的变化情况,周期性的记录到文件供其他应用进行统计分析工作;跟踪代码运行时轨迹,作为日后审计的依据;担当集成开发环境的调试器的作用,向文件或控制台打印代码的调试信息。因此,对于程序员来说,日志记录非常重要。 log4j2 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志。此次漏洞的出现,正
log4j2 2021最新版本.rar
12-14
6. **SpringBoot集成**:在SpringBoot应用Log4j2可以通过配置文件轻松集成,提供微服务日志的管理和监控。 **使用场景** - **开发调试**:在开发过程,通过设置不同的日志级别,可以帮助开发者追踪和定位...
java生成pdf工具类
06-21
java利用itext类库生成pdf,分页输出并添加水印
Java导出word,excel,pdf工具类.md
09-30
封装好的工具类,传入list ,type(0 excel,1 word ,2 pdf) 导出相应的文件
java导出pdf工具类
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-13 165
关于java工具类的理解 为什么java要提出个工具类的概念,按照面向对象的思想为什么不直接把工具 工具类其实就是对于String,Collection,IO等常用类的功能的扩展。比如IO读写文件。其实大多数时候我希望有一个文件路径,然后调个方法就直接得到文件内容(字符串或者字节数组形式)。 如果没有工具类,那么你每个...
JavaJava生成PDF工具类
wjianwei666的专栏
09-21 1415
Java生成PDF工具类是一个非常实用的工具类,可以帮助我们以程序化的方式生成PDF文件。通过该工具类,我们可以向PDF文件添加文字、图片、表格等多种内容,并且可以进行格式化和样式设置。Java生成PDF工具类常用于生成报表、发票、合同等文档。
navicat同步数据
weixin_50466477的博客
10-17 4537
点击下面目录可以更快阅读呕。
[学习笔记]Java生成简单的PDF工具类
起风了
03-14 634
1.工具类代码 /** * 完成功能:输出具有标题和表格的简单PDF * @param data 数据内容(JSON) * @param filePath 生成PDF的路径 * @param fontPath 字体路径 * @param dateString 时间(无需求不需添加) * @return
Java实现PDF导出功能
weixin_46822367的博客
10-19 7406
Java实现PDF导出功能。
replace()与replaceAll()
abnc8791的博客
03-22 298
replace的参数是char和CharSequence,即可以支持字符的替换,也支持字符串的替换(CharSequence即字符串序列的意思,说白了也就是字符串); replaceAll的参数是regex,即基于规则表达式的替换,比如:可以通过replaceAll("\\d", "*")把一个字符串所有的数字字符都换成星号; 相同点:都是全部替换,即把源字符串的某一字符或字符串全...
springboot 项目使用log4j2记录日志
05-30
使用 Log4j2 记录日志也很简单,步骤如下: 1. 在 pom.xml 文件添加 log4j2 依赖: ``` <groupId>org.apache.logging.log4j <artifactId>log4j-slf4j-impl <groupId>org.apache.logging.log4j ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员阿宁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值