Spring Boot应对Log4j2注入漏洞官方指南

最新推荐文章于 2024-05-29 07:43:29 发布
最新推荐文章于 2024-05-29 07:43:29 发布
阅读量2k 收藏 2
点赞数 1
文章标签: java spring spring boot maven log4j
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_35067322/article/details/121882240
版权

486af2689b89f123b538dbd2a53767a5.gif

Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。

默认配置不受影响

Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4jlog4j-apispring-boot-starter-logging不能独立利用。只有log4j-core在日志消息中使用和包含用户输入的应用程序容易受到攻击。

也就是说Spring Boot现在包含Log4J2的依赖只要你不启用是不会触发漏洞的。

下版本更新补丁

Spring Boot将在2021 年 12 月 23 日后发布的 2.5.82.6.2 版本将采用打了补丁的Log4J v2.15.0,但由于这是一个极其严重的漏洞,一定要覆盖我们的依赖项管理并尽快升级您的 Log4J2 依赖项。

Maven用户

对于 Maven 用户,您可以通过覆盖自己项目中pom.xml的版本号配置属性来修改该依赖的版本号。提升Log4J2到安全版本只需要:

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

然后使用./mvnw dependency:list | grep log4j命令运行以检查版本是否为 2.15.0

Gradle用户

  1. 对于大多数用户来说,设置log4j2.version属性就足够了:

ext['log4j2.version'] = '2.15.0'

  1. 如果你的Gradle并没有直接对Spring Boot进行依赖管理,你可以添加Log4J BOM依赖项:

implementation(platform("org.apache.logging.log4j:log4j-bom:2.15.0"))

  1. “万金油”的方法是声明一个GradleresolutionStrategy:

configurations.all {
 resolutionStrategy.eachDependency { DependencyResolveDetails details ->
  if (details.requested.group == 'org.apache.logging.log4j') {
   details.useVersion '2.15.0'
  }
 }
}

上面三种方法无论你使用哪种,安全起见都需要使用下面的命令进行检查确认:

./gradlew dependencyInsight --dependency log4j-core

漏洞演示

漏洞攻击的演示代码,我将在周一通过公众号文章进行详细讲解,请持续关注。

知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没

2021-12-10

407eacc3c7c288d3b6f15916394ac7c6.png

升级到最新版本的IDEA后Maven私仓挂了

2021-12-09

e2a47191f7c1e893df59b0275f174c7d.png

0b41173767d6a58acedf25f408d4e3c2.gif

码农小胖哥
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringBoot项目中如何正确的使用Log4j2
诺浅的专栏
03-09 773
1、添加Jar包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions><!-- 去掉springboot默认配置 --> <exclusion> <groupId
Spring boot整合log4j2过程解析
08-25
主要介绍了Spring boot整合log4j2过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot中引入log4j2及其相关配置详解
wyy_95的博客
04-24 931
​环境 springboot 2.3.1 maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </dependency> 在pom文件中引入log4j2的依赖 尝试启动项目,会发现jar包冲突,导致项目无法正常启动,选择将logback-
JAVA安全之Log4j-Jndi注入原理以及利用方式
最新发布
qq_53058639的博客
05-29 733
JDNI(Java Naming and Directory Interface)是Java命名和目录接口,它提供了统一的访问命名和目录服务的API。JDNI主要通过JNDI SPI(Service ProviderInterface)规范来实现,该规范定义了对JNDI提供者应实现的接口。在JNDI体系中,JNDI提供者是指实际提供命名和目录服务的软件组件。JNDISPI规范包含了多个接口,其中最为重要的是Context接口。
Springboot整合与使用log4j2日志框架【详解版】
无边热爱,来日方长
06-04 3619
Springboot整合与使用log4j2日志框架【详解版】
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
热门推荐
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升级springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
log4j的bug演示与修复
JustMyLive的博客
12-26 3576
文章目录1、描述2、Log4j版本详细信息3、Log4j官网发布的缓解措施3.1、Log4j 1.x缓解措施3.2、Log4j 2.x缓解措施3.3、不可信的缓解措施4、Spring官网发布的log4j2漏洞缓解措施4.1、Gradle4.2、Maven5、复现Log4j的bug6、缓解Log4j的bug7、数据来源 1、描述 在 Apache Log4j2 版本(最高包括 2.14.1)(不包括安全发布版 2.3.1、2.12.2 和 2.12.3)中,在配置、日志消息和参数中使用的 JNDI 功能部件
spring-boot-starter-log4j2
09-25
2. 配置Log4j2Spring Boot默认使用`src/main/resources/log4j2.xml`或`log4j2.json`作为Log4j2的配置文件。你可以根据需求自定义日志级别、输出格式、输出位置等。 四、Log4j2配置详解 1. 日志级别:Log4j2支持...
Spring Boot使用Log4j2的实例代码
08-29
"Spring Boot使用Log4j2的实例代码" 本文主要介绍了Spring Boot使用Log4j2的实例代码,包括log4j2.xml配置和Maven依赖项配置。下面我们将详细介绍这些知识点。 Log4j2简介 Log4j2Java中的一种日志记录工具,...
Spring 5.0集成log4j2日志管理的示例代码
08-28
首先,需要引入log4j 2的三个jar包:log4j-api-2.10.0.jar、log4j-core-2.10.0.jar和log4j-web-2.10.0.jar,然后在项目下的web.xml文件中添加log4jContextName参数,以便log4j2能够正确地输出日志文件。 log4j 2...
spring boot自定义log4j2日志文件的实例讲解
08-28
Spring Boot 自定义 Log4j2 日志文件实例讲解 Spring Boot 是一个流行的基于 Java 的框架,用于简化企业级应用程序的开发。 Log4j2 是一个功能强大且高性能的日志记录库,广泛应用于 Java 应用程序中。 Spring Boot...
spring boot解决log4j2漏洞升级问题
07-14 1079
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4424
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
使用Slf4j集成Log4j2构建项目日志系统的完美解决方案
Realize My Dream
12-11 150
一、背景   最近因为公司项目性能需要,我们考虑把以前基于的log4j日志系统重构成基于Slf4j和log4j2日志系统,因为,使用slf4j可以很好的保证我们的日志系统具有良好的兼容性,兼容当前常见几种日志系统,而使用log4j2而不是log4j是因为Log4j 1.x 在高并发情况下出现死锁导致cpu使用率异常飙升,而Log4j2.0基于LMAX Disruptor的异步日志在...
Spring Boot 应对 Log4j2 注入漏洞指南
Free雅轩的博客
12-31 162
Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。 默认配置不受影响 Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-start
Log4J使用方法【超详细,绝对能看懂】
localhost
04-09 2185
1.添加Maven依赖,没有Maven的可以去下载Jar包导进去 <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </depend...
Java微服务实践:Spring Boot日志Log4j解析
课件还可能涉及如何在Spring Boot中集成和配置Log4j,以及如何利用其特性进行日志管理和分析。对于Java微服务开发者来说,理解和掌握这些内容能够提升日志管理的效率,更好地监控和优化服务性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农小胖哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值