WEB应用log4j1.x升级到log4j2.17.1

最新推荐文章于 2024-06-23 13:39:49 发布
最新推荐文章于 2024-06-23 13:39:49 发布
阅读量5.3k 收藏 24
点赞数 6
分类专栏: java实用工具类 文章标签: java log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38138879/article/details/122378471
版权

WEB应用Log4j1.x升级到log4j2.17.1

WEB应用log4j1.x升级到log4j2.17.1

升级背景:引用apache log4j2官网描述,有严重的漏洞;加上公司维护的WEB应用使用了非常落后的版本为log4j-1.2.16和log4j1.x生命周期已经于2015年结束。注意log4j1.x与log4j2.x是两个不兼容的版本。

Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remote code execution (RCE) attack where an attacker with permission to modify the logging configuration file can construct a malicious configuration using a JDBC Appender with a data source referencing a JNDI URI which can execute remote code. This issue is fixed by limiting JNDI data source names to the java protocol in Log4j2 versions 2.17.1, 2.12.4, and 2.3.2.

Mitigation
Upgrade to Log4j 2.3.2 (for Java 6), 2.12.4 (for Java 7), or 2.17.1 (for Java 8 and later)

环境条件

log4j2.17.1基于JDK1.8编译,所以必须将log4j的应用程序的运行JDK升级到1.8或更高版本
在这里插入图片描述

删除旧版本JAR包

删除WEB根目录的WEB-INF/lib旧版本log4j1.x相关的jar包:

  • commons-logging-1.1.jar
  • log4j-1.2.16.jar
  • slf4j-api-*.jar
  • slf4j-log4j12-1.5.0.jar
  • slf4j-simple-1.5.2.jar

删除log4j1.x的日志配置文件

删除WEB根目录的WEB-INF/log4j.xml

删除log4j1.x的启动配置或代码

公司WEB项目利用Spring的Log4jConfigListener启动配置,所以编辑web.xml并删除以下启动配置:

<context-param>
    <param-name>log4jConfigLocation</param-name>
    <param-value>/WEB-INF/log4j.xml</param-value>
</context-param>
<listener>
    <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
</listener>

新增log4j2的jar包依赖

WEB-INF/lib新增以下jar包:

  • commons-logging-1.2.jar
  • log4j-1.2-api-2.17.1.jar
  • log4j-api-2.17.1.jar
  • log4j-core-2.17.1.jar
  • log4j-jcl-2.17.1.jar
  • log4j-jul-2.17.1.jar
  • log4j-slf4j-impl-2.17.1.jar
  • log4j-web-2.17.1.jar
  • slf4j-api-1.7.29.jar

新增log4j2的日志配置文件

WEB-INF下新增llog4j2.xml日志配置文件

  <?xml version="1.0" encoding="UTF-8"?>
<Configuration>
    <Appenders>
        <Console name="STDOUT" target="SYSTEM_OUT">
            <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger:%L - %msg%n"/>
        </Console>
    </Appenders>
    <Loggers>
        <Root level="info">
            <AppenderRef ref="STDOUT"/>
        </Root>
        <Logger name="freemarker.core" level="debug" additivity="false">
            <AppenderRef ref="STDOUT"/>
        </Logger>
    </Loggers>
</Configuration>

新增log4j2的web启动配置

考虑公司的WEB项目比较旧,甚至存在Servlet2.5的应用,所以关闭log4j2-web.jar的自动初始化Log4jServletContextListener与Log4jServletFilter(需要Servelt3.0+)功能,统一改为人工配置。所以编辑web.xml配置文件,并新增以下启动配置:

 <context-param>
    <param-name>isLog4jAutoInitializationDisabled</param-name>
    <param-value>true</param-value>
</context-param>
<listener>
    <listener-class>org.apache.logging.log4j.web.Log4jServletContextListener</listener-class>
</listener>
<filter>
    <filter-name>log4jServletFilter</filter-name>
    <filter-class>org.apache.logging.log4j.web.Log4jServletFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>log4jServletFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
</filter-mapping>

如果需要重定位日志配置文件位置,请设置log4j2的日志文件路径参数,否认为在默认路径WEB-INF下。

 <context-param>
        <param-name>log4jConfiguration</param-name>
        <param-value>file:///D:/conf/myLogging.xml</param-value>
    </context-param>
huangrusheng_23
关注
  • 6
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
log4j-2.17.1的jar包,导入即可使用
02-07
log4j的jar包,用于代码开发,记录日志等
log4j配置及详解
sunliangabc的专栏
10-11 1104
一、搭配环境_主要介绍下载jar包与配置基本环境 1,下载log4j的jar包:http://logging.apache.org/log4j/1.2/download.html           2,新建java project项目。     3,解压log4j-1.2.17.zip文件,将其中log4j-1.2.17.jar添加到项目中,并添加到buildpath
核弹级漏洞 Apache Log4j2 漏洞详情和修复建议
Gblfy_Blog
12-12 858
文章目录一、由来1. 现象2. 事件详情3. 影响范围4. 攻击检测5. 临时缓解措施二、. 普通web项目2.1. 下载依赖2.2. 解压2.3.更新操作2.4.移除旧依赖2.5. 更新包三. maven项目修复3.1. maven 项目3.2. 微服务项目 一、由来 1. 现象 2021年12月9日,国内多家机构监测到Apache Log4j存在任意代码执行漏洞,并紧急通报相关情况。由于Apache Log4j存在递归解析功能,未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最
日志框架log4j升级log4j2
最新发布
weixin_43369198的博客
06-23 1214
在传统的日志系统中,日志的记录往往是同步进行的,这意味着每当应用程序记录一条日志时,都会直接写入到磁盘或者发送至远程日志服务器上,这个过程可能会因为磁盘I/O或网络延迟而变得相对较慢,在高并发的场景下,这类延迟可能会对应用程序的性能产生明显的影响。目前很多日志框架都已经集成了异步记录日志的功能,例如Logback自带异步日志,而本文将侧重介绍Log4j2日志框架使用Disruptor来完成异步日志的支持,使得Log4j2能够在多线程应用程序中提供更快的日志写入性能,尽可能减少对应用程序性能的影响。
tomacat升级log4j2.17.1版本,log4j2升级后还是读取log4j1怎么办解决方案
mapleqn的博客
09-07 995
因为log4j版本有漏洞,需要升级版本。。由于这个项目年代久远,用的都是tomcat。所以升级版本以后,虽然项目能正常运行,但日志和管理台一直无法正常输出。明明改了配置,还是去读的log4j1.x的版本信息,也就是原来的配置。于是整理了一下需要改的几个点,应该能解决tomcat+log4j2的问题了。
elasticsearch-7.13.3 升级log4jlog4j-2.17.1
soso的博客
04-03 1775
2、下载后解压apache-log4j-2.17.1-bin.tar.gz。log4j低版本存在严重漏洞,根据需要升级到安全版本,不一定是最新。进入elasticsearch-7.13.3目录。log4j-2.17.1 jar包下载地址。5、重新启动elasticsearch服务。4、将需要升级的包拷贝到对应目录。升级需要用到截图中四个jar包。删除旧版本log4j
Log4j2 升级2.17.1踩过的坑
Harry的博客
02-08 7152
目录 1. 如果你用的是spring boot2.x 怎么升级方便 2.Caused by: java.lang.NoSuchMethodError: com.lmax.disruptor.dsl.Disruptor 3. Log4j2 error-ERROR StatusLogger Unrecognized format specifier 版本 Library Current Upgraded Lo4j2 related jar * 2.17.1 ..
log4j2漏洞升级不打印日志
weixin_44431755的博客
09-25 1057
log4j2漏洞升级不打印日志
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
热门推荐
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
log4j-api-2.17.1.jar和log4j-core-2.17.1.jar
03-11
首先,log4j-api-2.17.1.jar是Log4j2的核心API库,它定义了日志记录的接口和抽象类,为应用程序提供了一套编程模型。这些接口包括最基本的`org.apache.logging.log4j.Logger`,它是所有日志记录的起点,以及`org....
log4j-2.17升级版本包
07-22
log4j-2.17升级版本包,包括log4j-1.2-api-2.17.1.jar、log4j-api-2.17.1.jar、log4j-core-2.17.1.jar、log4j-slf4j-impl-2.17.1.jar、log4j-web-2.17.1.jar
log4j-core-2.17.1.jar
01-20
log4j-core-2.17.1.jar
log4j-api-2.17.1.jar
01-20
log4j-api-2.17.1.jar
log4j各版本jar包
02-01
log4j-1.2.12,log4j-1.2.13,log4j-1.2.14,log4j-1.2.15,log4j-1.2.16,log4j-1.2.17
log4j-api-2.17.1-API文档-中文版.zip
05-05
赠送jar包:log4j-api-2.17.1.jar; 赠送原API文档:log4j-api-2.17.1-javadoc.jar; 赠送源代码:log4j-api-2.17.1-sources.jar; 赠送Maven依赖信息文件:log4j-api-2.17.1.pom; 包含翻译后的API文档:log4j-api-...
Log4j一个月内第五次漏洞:2.17.1版本修复了新的远程代码执行错误
极道Jdon的技术博客
12-29 2018
Apache 发布了另一个 Log4j 版本 2.17.1,修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞,编号为 CVE-2021-44832。在今天之前,2.17.0 是 Log4j 的最新版本,被认为是最安全的升级版本,但现在这个建议已经演变。一个月内五次Log4j CVE攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右,当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。发现...
没完没了,Apache Log4j:你爆我也爆
终码一生
12-31 214
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 最近,Apache Log4j日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第三个 RCE 和第四个漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache 团队已发布新的 Log4j 版本以修复新发现的这一漏洞。根据介绍,CVE-2021-4
Log4j学习笔记
Snail_565的博客
10-30 852
Log4j学习笔记1 入门实例2 Log4j基本使用方法2.1 定义配置文件 1 入门实例 我这里在我的Maven项目中先引入log4j的包 <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.12<...
卧槽,Log4j2 再爆雷,Log4j v2.17.0 横空出世。。。
Java技术栈,分享最主流的Java技术
12-20 476
Log4j2 再爆雷 Log4j2 这是没完没了了,栈长以为《玩大了!Log4j 2.x 再爆雷。。。》 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了: 前两天栈长还说 Log4j 2.16.0 是最安全的版本,没想到这么快就又打脸了,Log4j 2.17.0 横空出世。。。 又来了。。Log4j2 这是中了新冠的毒? 这次又爆出来新的 DOS 拒绝服务攻击漏洞。。 如果你想关注和学习最新、最主流的 Java 技术,可以持续关注公众号Java技术栈,公众号第一时间推送。 安全漏洞:
log4j2.17.1.jar使用
08-06
log4j2.17.1.jar是Apache Log4j的一个版本,它是一个功能强大的日志记录框架,用于帮助开发人员在应用程序中实现灵活和可维护的日志记录。 使用log4j2.17.1.jar的第一步是将该jar文件添加到项目的Java构建路径中。可以手动将jar文件复制到项目的lib文件夹中,然后在项目配置中添加该jar文件。或者,也可以通过构建工具(如Maven或Gradle)来自动管理依赖。 一旦将log4j2.17.1.jar添加到项目中,接下来需要进行配置。在项目的资源文件夹中,创建一个名为log4j2.xml的配置文件,或者在代码中通过编程方式进行配置。在配置文件中,可以定义日志记录器、日志输出方式、日志级别等。 通过配置文件,可以指定日志记录器的名称,并设置输出级别。日志级别可以是TRACE、DEBUG、INFO、WARN、ERROR或FATAL。可以根据需要选择适当的级别。 此外,还可以指定日志输出方式,例如将日志输出到控制台、文件、数据库等。可以定义不同的Appenders(日志输出目标),并通过给每个Appender分配级别来指定哪些日志消息将被输出到该目标。 在应用程序代码中,可以使用log4j2.17.1.jar提供的API来记录日志。通过获取logger实例,并调用不同级别的方法(如info(), debug(), error()等),可以将日志消息传递给Logger对象。日志消息将根据配置文件的设置进行输出。 总之,log4j2.17.1.jar是一个功能强大且广泛使用的日志记录框架。通过适当的配置和使用,可以在应用程序中轻松地记录和管理日志消息。这有助于开发人员在调试和发布时更好地理解应用程序的运行状况,并提供有用的信息来诊断问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huangrusheng_23

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值