springboot升级log4j2,解决漏洞问题

最新推荐文章于 2024-05-16 10:17:14 发布
最新推荐文章于 2024-05-16 10:17:14 发布
阅读量6.5k 收藏 15
点赞数 5
分类专栏: java 文章标签: spring boot java log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32848433/article/details/121991901
版权

最近log4j2爆出有重大漏洞问题,公司也紧急要求各个项目自己查验,要求将log4j的版本升到安全版本

目前我们使用的是springboot 1.5.9版本,内置log4j2是2.7的版本,虽然整合了mybatis,但是log4i的版本依然是以springboot内置为主

2个方案,一个是官方提供的,个人推荐,另一个是根据网上的总结出来的,测试结果也是对的

方法一:spring官网推荐(强烈建议用官网的)

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
官网介绍了2种情况,

情况一:直接用soringboot父pom的,类似如下的(推荐如下方式)
	<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.5.9.RELEASE</version>
        <relativePath/> 
    </parent>

这种情况下的,就需要在自己项目的pom.xml文件中添加如下代码

<properties>
    <log4j2.version>2.16.0</log4j2.version>
</properties>

若果自己项目的pom.xml文件里已经有<properties>标签了,就自行在里面添加<log4j2.version>2.16.0</log4j2.version>,版本自己选择,最好是>=2.15版本

这边补充一下原因,<properties>可以覆盖父类pom文件里引入的依赖的版本
改完以后,可以自己看下自己项目的依赖版本是否升级了,我这边是选择升级到2.15的版本
用这种方式的好处是,你不需要一个一个去找,基本只要父pom设置好了,其他的基本就会同步升级
在这里插入图片描述

情况二:没有将springboot的pom文件作为父pom,而是当作依赖引入的
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-bom</artifactId>
            <version>2.16.0</version>
            <scope>import</scope>
            <type>pom</type>
        </dependency>
        ... other dependencies including spring-boot-dependencies
    </dependencies>
</dependencyManagement>

具体的我没有试过,只是把官网的翻译了一下,版本自己选择

方式二

直接说怎么改(这个是同事改的,我直接拿过来用了)

父pom.xml

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-log4j2</artifactId>
   <exclusions
最低0.47元/天 解锁文章
随便写点小代码
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1344
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
spring boot极速修复log4j漏洞
小马的专栏
12-13 1690
周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。 出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,我项目里实际使用的是slf4j,而且我也没有引用log4j-core这个包,理论上来说是不会有漏洞的。 但是永远伟大正确的甲方爸爸说了,我不管,我看见log4j就害怕,看见后边是2
spring boot解决log4j2漏洞升级问题
07-14 1077
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
Log4j2 再爆雷,Log4j v2
最新发布
afsdfrsg的博客
05-16 209
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Spring-Boot项目 修复log4j的漏洞
李康的博客
07-25 546
Spring-Boot项目 修复log4j的漏洞。通过替换日志组件来修复漏洞
Spring Boot Log4j2漏洞修复
涛哥是个大帅比
06-28 994
如果使用的是 Log4j 1.x、Logback或者其他日志框架,不受漏洞影响。如果使用Spring Boot默认日志,也是没有问题的,因为默认是Commons Logging。 Spring Boot框架只有在以下情况下才会受到此漏洞的影响:Log4J2 Vulnerability and Spring Boot https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot1.将默认日志切换到Log4J22.集成了spri
【log4j漏洞】log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4069
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
Springboot整合log4j2日志全解总结
08-26
Springboot 整合 log4j2 日志全解总结 本文主要介绍了 Springboot 整合 log4j2 日志的实现 шаги,旨在帮助开发者更好地理解日志框架在 Springboot 项目中的应用。 日志框架的重要性 在项目推进中,日志框架的...
SpringBoot框架配置log4j和log4j2的配置代码
11-29
Log4j2作为Log4j的升级版,提供更好的性能和更丰富的特性,如异步日志记录,JSON布局,以及可插拔的日志配置。 #### 配置Log4j2 1. **添加依赖**:在`pom.xml`中,添加Log4j2的依赖。 ```xml <groupId>org....
springboot+mybatis+log4j2
05-29
然后,我们来看Log4j2,这是一个用于生成日志的开源组件,它是Log4j的升级版,提供了更高的性能和更丰富的特性。Log4j2提供了灵活的日志配置,支持多种日志格式,如文本、JSON、XML等,并且具备强大的日志级别控制、...
log4j log4j2 2.15.0漏洞解决
12-10
《深入解析Log4j与Log4j2 2.15.0漏洞解决方案》 在信息技术领域,日志记录是系统监控、故障排查和安全分析的重要环节。Log4j和Log4j2作为Java平台广泛使用的日志框架,其性能高效、功能强大,深受开发者喜爱。...
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
springboot_log4j2下载
01-11
spring boot 集成log4j2工程,多环境下使用不同的log4j2配置文件。 对应的博客地址:http://blog.csdn.net/woniu211111/article/details/54347846
slf4j、log4j-slf4j-impl、log4j2之间的关系(更新ing)
热门推荐
chenwq726的博客
12-19 2万+
日志框架:slf4j 日志实现:log4j2 桥接包:log4j-slf4j-impl 桥接包log4j-slf4j-impl起到适配的作用,因为市面上的日志实现互不兼容,日志框架slf4j要想适用于日志实现log4j2,就需要使用桥接包 slf4j使用LoggerFactory创建Logger进行日志打印,底层实际上调用了log4j-slf4j-impl的StaticLoggerBinder类创...
log4j-slf4j-impl cannot be present with log4j-to-slf4j 之类的问题解决maven依赖冲突
qq_43719388的博客
07-27 6088
maven 日志冲突解决方案
使用log4j2时log4j-slf4j-impl与slf4j-log4j12包下的StaticLoggerBinder.class冲突(二)
MADE_哒哒
08-23 3543
上一次在Springboot中使用log4j2发生包冲突 于是使用此方法解决:https://blog.csdn.net/qq_40301026/article/details/107844450 这次在使用Habse的API写代码时又是包冲突,想死。。。。。。但是我们要不畏艰难,冲突我就全部排掉 1.先上错误提示 SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/C:/me
一文读懂面试官都在问的Log4J2漏洞
YangYubo091699的博客
04-11 5348
​ Apache log4j2-RCE 漏洞是由于Log4j2提供的lookup功能下的JndiLookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j2请求远程主机上的含有恶意代码的资源 并执行其中的代码,从而造成远程代码执行漏洞。​
Log4j2 漏洞解决方案】
m0_46459413的博客
12-29 493
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
Log4j安全漏洞前车之鉴,呕心整理工作中常用开源组件避坑版本
bytearch
01-21 3178
前段时间log4j安全漏洞事件,可以说掀起了一场”血雨腥风“,正好最近做了一个项目对安全要求特别高,对有安全漏洞开源组件做了统一修复。特此总结,希望对大家以后选择组件版本时有所帮助。
springboot log4j2漏洞修复
06-28
### 回答1: Spring Boot Log4j2漏洞修复指的是修复Spring Boot应用程序中使用的Log4j2库中存在的漏洞。这些漏洞可能会导致攻击者利用恶意代码来执行远程命令或者进行其他恶意行为。为了修复这些漏洞,开发人员需要升级Log4j2库到最新版本,并且配置Log4j2以避免受到攻击。此外,还需要对应用程序进行安全审计,以确保没有其他漏洞存在。 ### 回答2: 在修复Spring Boot Log4j2漏洞之前,我们需要了解该漏洞是什么以及它的影响。Spring Boot Log4j2漏洞是一种远程代码执行漏洞,可能允许攻击者在目标系统上执行恶意代码。该漏洞存在于Spring Boot应用程序中使用的Log4j2库中,该库允许攻击者通过发送恶意请求来触发漏洞并执行代码。攻击者可以利用此漏洞从远程地方执行任意代码,包括在目标系统上上传和执行恶意软件、访问受保护的数据等。 为修复Spring Boot Log4j2漏洞,需要按照以下步骤进行操作: 1. 升级Log4j2版本:如果您使用的是Spring Boot 2.1.x,则需要将该应用程序升级Spring Boot 2.1.24及更高版本,该版本解决漏洞。如果您使用的是Spring Boot 2.2.x或更运行的版本,则需要升级Spring Boot 2.2.18及更高版本。通过此操作,可以更新您的应用程序中使用的Log4j2库,从而修复漏洞。 2. 禁用Log4j2:如果您无法升级到最新版本或不想升级,则可以禁用Log4j2。您可以在应用程序的配置文件中进行相应的更改。如果您使用的是Spring Boot 1.x版本,则可以禁用日志记录,然后将应用程序转换为使用Logback或其他日志库。如果您使用的是Spring Boot 2.x版本,则可以使用spring-boot-starter-logging库中的其他日志记录器。 3. 更新应用程序代码:如果您无法升级版本或禁用Log4j2,则需要在应用程序代码中进行更改,以减轻漏洞的影响。建议使用最新的Java安全管理器,并在代码中使用安全方案,以确保应用程序在支持的特权下运行。 修复Spring Boot Log4j2漏洞对于保障应用程序的安全至关重要。我们建议应用程序开发者及时采取相应的措施,确保应用程序不会受到任何风险的威胁。同时,我们还建议应用程序在运行期间定期检查和更新库,以保持最新的安全补丁。 ### 回答3: Spring Boot是目前Java应用开发领域里非常流行的一种轻量级框架。而Log4j2是一款常用的Java日志框架,可以帮助Java程序员更好地管理应用的日志。但是,近来Log4j2存在着一个被多个漏洞编号CVE-2021-44228所包含的严重漏洞,存在导致系统被攻击的危险。本文将介绍这个漏洞及其修复方法。 漏洞概述: 由于Log4j2中的JNDI注入漏洞,攻击者可以通过web请求中的恶意JNDI名称从远程服务器上下载jar包,导致恶意攻击。这个漏洞主要存在于如下代码中。 { <PatternLayout pattern="%highlight{%d{yyyy-MM-dd HH:mm:ss.SSS} [%-5p] [%t] %c{1.} - %m%n%ex}{WARN=Bright Yellow,ERROR=Bright Red,FATAL=Bright Red}" /> } 漏洞修复方法: 1.升级log4j2到最新版本:由于Log4j2官方已发布最新的2.17.0版本,此版本已修复该漏洞,用户可以升级到此版本以避免漏洞带来的安全隐患。 2.移除JMS Appender配置:如果升级日志框架不现实,可以选择移除JMS Appender配置以避免被攻击风险,具体实现方法如下: (1)移除log4j2.xml或log4j2.properties文件中的JMS Appender配置。 (2)升级log4j-web相关的jar包,升级到2.17.0及以上版本。 总结: 如果您的应用程序使用的是Log4j2版本低于2.17.0的版本,则应尽快升级到该版本并修改配置文件,如果不能升级到该版本,则需要尽快移除JMS Appender配置以及升级相关的jar包版本,以避免被漏洞攻击所影响。我们还建议应用程序部署人员定期检测该漏洞,以保证应用的安全运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值