Springboot项目升级Log4j版本,修复漏洞

最新推荐文章于 2024-08-15 09:57:23 发布
最新推荐文章于 2024-08-15 09:57:23 发布
阅读量3.6k 收藏 4
点赞数 3
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37507261/article/details/121902797
版权

排除原本jar包,引入最新版本

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-jul</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.15.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.15.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-jul</artifactId>
    <version>2.15.0</version>
</dependency>

如果项目用的是logback,还需要重新引入下面依赖:

<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.2.3</version>
</dependency>
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-core</artifactId>
    <version>1.2.3</version>
</dependency>
Climbing-pit
关注
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1371
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
springboot升级log4j2,解决漏洞问题
芝麻年糕的博客
12-17 6830
最近log4j2爆出有重大漏洞问题,公司也紧急要求各个项目自己查验,要求将log4j版本升到安全版本
spring boot解决log4j2漏洞升级问题
07-14 1104
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
Springboot 修改Tomcat版本 修复Tomcat CVE-2024-21733 漏洞
最新发布
拉丁解牛技术专栏
08-15 680
修改Springboot Tomcat内置版本修复Tomcat 漏洞,网络安全问题
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4124
spring-boot-starter-log4j2漏洞修复方式
log4j2.xml配置文件不生效
hey_wei_ran的博客
03-18 980
log4j2.xml配置文件不生效
在IDEA的java项目中使用log4j,配置文件log4j2-test.xml不生效
李闪闪
10-03 4532
1、log4j2-test.xml配置看官网:Log4j – Configuring Log4j 2https://logging.apache.org/log4j/2.x/manual/configuration.html 2、问题:控制台输出日志信息,修改level的的值不生效,仍是只能输出error以上级别的信息 <?xml version="1.0" encoding="UTF-8"?> <Configuration status="warn"> <Appen
Log4j2.xml不生效:WARN StatusLogger Multiple logging implementations found:
听香水榭
11-24 1612
处理log4j2.xml不生效问题
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
2401_83916326的博客
04-18 869
当然,如果只是为了解决 Log4j2 的漏洞升级 Spring Boot版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。为了解决 Log4j2 近期发生的核弹级漏洞Spring Boot 之前说新版本升级Log4j v2.15.0,其中囊括了JVM、锁、并发、Java反射、Spring原理、微服务、Zookeeper、数据库、数据结构等大量知识点。其他的 Spring Boot 2.4.x 及以下的版本线不受支持。Gradle 项目升级也是同理,略。
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 1823
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
Log4j 漏洞修复和临时补救方法
12-14 3796
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
logback替换log4j
weixin_30810583的博客
01-11 267
1.新建logback.xml放在src目录下(放在src下会自动加载,不需要再web.xml配置) 2.引入必要的jar包; 转载于:https://www.cnblogs.com/chafe/p/6274322.html
解决log4j2配置文件失效的问题
热门推荐
Parker的博客
07-19 1万+
今天运行项目的时候,查看控制台突然发现日志的输出格式变了,但最近又没动过log4j的配置文件,所以非常的困惑。 最后怀疑是加载了别的地方的配置文件或者因为某些原因使用了默认的配置属性。 后来在网上发现很多相类似的问题,其中大多数原因都是因为包冲突或包里含有额外的配置文件等造成的。 由此我也怀疑是最近新增加的activemq-all包而引发的问题。 于是在Tomcat的VM参数里添加-Dlo...
关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决
Specif1c的博客
01-23 4164
前言: springboot 项目一般使用 log4j 是直接引入 spring-boot-starter-log4j 启动器依赖,但是官方提供最新的 spring-boot-starter-log4j 版本是 2016年 的,存在 log4j 远程代码执行漏洞风险。 在此我将演示如何修复启动器依赖的方法。 一、排除 spring-boot-starter-log4j 原有的相关依赖: <dependency> <groupId>org.spr
Log4j漏洞修复
培根芝士的专栏
12-30 2099
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。 12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 简单来说,就是在打印日志时,如果发现日志内
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 603
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2、漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2、漏洞
漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)
m0_52985087的博客
01-23 1187
本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞
springboot log4j2漏洞修复
06-28
### 回答1: Spring Boot Log4j2漏洞修复指的是修复Spring Boot应用程序中使用的Log4j2库中存在的漏洞。这些漏洞可能会导致攻击者利用恶意代码来执行远程命令或者进行其他恶意行为。为了修复这些漏洞,开发人员需要升级Log4j2库到最新版本,并且配置Log4j2以避免受到攻击。此外,还需要对应用程序进行安全审计,以确保没有其他漏洞存在。 ### 回答2: 在修复Spring Boot Log4j2漏洞之前,我们需要了解该漏洞是什么以及它的影响。Spring Boot Log4j2漏洞是一种远程代码执行漏洞,可能允许攻击者在目标系统上执行恶意代码。该漏洞存在于Spring Boot应用程序中使用的Log4j2库中,该库允许攻击者通过发送恶意请求来触发漏洞并执行代码。攻击者可以利用此漏洞从远程地方执行任意代码,包括在目标系统上上传和执行恶意软件、访问受保护的数据等。 为修复Spring Boot Log4j2漏洞,需要按照以下步骤进行操作: 1. 升级Log4j2版本:如果您使用的是Spring Boot 2.1.x,则需要将该应用程序升级Spring Boot 2.1.24及更高版本,该版本已解决漏洞。如果您使用的是Spring Boot 2.2.x或更运行的版本,则需要升级Spring Boot 2.2.18及更高版本。通过此操作,可以更新您的应用程序中使用的Log4j2库,从而修复漏洞。 2. 禁用Log4j2:如果您无法升级到最新版本或不想升级,则可以禁用Log4j2。您可以在应用程序的配置文件中进行相应的更改。如果您使用的是Spring Boot 1.x版本,则可以禁用日志记录,然后将应用程序转换为使用Logback或其他日志库。如果您使用的是Spring Boot 2.x版本,则可以使用spring-boot-starter-logging库中的其他日志记录器。 3. 更新应用程序代码:如果您无法升级版本或禁用Log4j2,则需要在应用程序代码中进行更改,以减轻漏洞的影响。建议使用最新的Java安全管理器,并在代码中使用安全方案,以确保应用程序在支持的特权下运行。 修复Spring Boot Log4j2漏洞对于保障应用程序的安全至关重要。我们建议应用程序开发者及时采取相应的措施,确保应用程序不会受到任何风险的威胁。同时,我们还建议应用程序在运行期间定期检查和更新库,以保持最新的安全补丁。 ### 回答3: Spring Boot是目前Java应用开发领域里非常流行的一种轻量级框架。而Log4j2是一款常用的Java日志框架,可以帮助Java程序员更好地管理应用的日志。但是,近来Log4j2存在着一个被多个漏洞编号CVE-2021-44228所包含的严重漏洞,存在导致系统被攻击的危险。本文将介绍这个漏洞及其修复方法。 漏洞概述: 由于Log4j2中的JNDI注入漏洞,攻击者可以通过web请求中的恶意JNDI名称从远程服务器上下载jar包,导致恶意攻击。这个漏洞主要存在于如下代码中。 { <PatternLayout pattern="%highlight{%d{yyyy-MM-dd HH:mm:ss.SSS} [%-5p] [%t] %c{1.} - %m%n%ex}{WARN=Bright Yellow,ERROR=Bright Red,FATAL=Bright Red}" /> } 漏洞修复方法: 1.升级log4j2到最新版本:由于Log4j2官方已发布最新的2.17.0版本,此版本修复漏洞,用户可以升级到此版本以避免漏洞带来的安全隐患。 2.移除JMS Appender配置:如果升级日志框架不现实,可以选择移除JMS Appender配置以避免被攻击风险,具体实现方法如下: (1)移除log4j2.xml或log4j2.properties文件中的JMS Appender配置。 (2)升级log4j-web相关的jar包,升级到2.17.0及以上版本。 总结: 如果您的应用程序使用的是Log4j2版本低于2.17.0的版本,则应尽快升级到该版本并修改配置文件,如果不能升级到该版本,则需要尽快移除JMS Appender配置以及升级相关的jar包版本,以避免被漏洞攻击所影响。我们还建议应用程序部署人员定期检测该漏洞,以保证应用的安全运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Climbing-pit

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值