Spring-Boot项目 修复log4j的漏洞

已于 2023-07-25 15:21:09 修改
阅读量553 收藏
点赞数
文章标签: log4j 单元测试
于 2023-07-25 15:11:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45913487/article/details/131913606
版权

修复log4j的漏洞

背景

由于项目要接入公网,故需要在接入公网前对引入log4j的项目进行安全漏洞测试。结果检测出log4
j日志版本太低。要求将logj的版本升级到2.17.1
在这里插入图片描述

现状

1.现在引入的是spring-boot-starter-log4j2,而这个组件是依赖
log4j-api,log4j-core,log4j-slf4j-impl这几个组件的,
在这里插入图片描述
2.使用的是日志注解是lombok包下面的@Slf4j注解,并没有版本号,因此找了半天没有发现使用log4j的日志,那么问题也就卡在这里,安全同事说我们不通过,但我也找不到问题所在
在这里插入图片描述
3.我们去掉spring-boot-starter-log4j2组件后,项目整个的日志都不打印了,因此又回退代码

解决方案

lombok下面的注解只是一个声明,具体的实现还是依赖的spring-boot-starter-log4j2这个组件,因此实际上我们使用的日志还是spring-boot-starter-log4j2组件下的log4
j,我直接把spring-boot-starter-log4j2日志的组件替换成以下日志的实现(实际上排掉org.apache.logging.log4j包这个即可)

从以下可以看出:只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

从版本 2.17.1(以及 Java 7 和 Java 6 的 2.12.4 和 2.3.2)开始,JDBC Appender 将使用 JndiManager 并要求 log4j2.enableJndiJdbc 系统属性包含 true 值以启用 JNDI。

    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-api</artifactId>
        <version>2.17.1</version>
    </dependency>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-core</artifactId>
        <version>2.17.1</version>
        <exclusions>
            <exclusion>
                <artifactId>log4j-api</artifactId>
                <groupId>org.apache.logging.log4j</groupId>
            </exclusion>
        </exclusions>
    </dependency>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-slf4j-impl</artifactId>
        <version>2.17.1</version>
        <exclusions>
            <exclusion>
                <artifactId>log4j-api</artifactId>
                <groupId>org.apache.logging.log4j</groupId>
            </exclusion>
            <exclusion>
                <artifactId>log4j-core</artifactId>
                <groupId>org.apache.logging.log4j</groupId>
            </exclusion>
        </exclusions>
    </dependency>
克乐乐了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1348
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞,Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
集成了log4jSpringBoot下的漏洞复现
mxy2404830的博客
01-05 519
前景提要 Log4j史诗级漏洞这几天闹的沸沸扬扬,让我也想一探究竟,到底是怎么触发的。 2. 搭建一个集成Log4jSpringBoot项目 根据spring官网的指引,创建一个springboot项目,然后对pom文件进行一个修改 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <a
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
热门推荐
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升级springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
spring boot解决log4j2漏洞升级问题
07-14 1079
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4424
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Java日志组件之三Log4j2漏洞剖析及重现
程序员青菜学厨记
11-01 234
先搭建一个SpringBoot项目,然后将spring-boot-starter-logging这个依赖移除,自己引用log4j-api-2.13.3.jar、log4j-core-2.13.3.jar这两个包,注(这是我们从自己以前老机器上找到的,现在官方应该是已经修复了,直接maven依赖进来应该是不能重现了)。你调用logger.info(name);注:我这里演示用的是同一台机器,但也可以很明显看得出来是在服务器上去执行远程黑客机器上的代码(那个代码在你的服务器上执行,而不是黑客自己的机器)。
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2的...
spring-boot-2.5.0.zip
04-21
7. **日志框架升级**:Spring Boot 2.5.0 更新了内置的日志框架,比如Logback和Log4j2,提供了更好的日志配置和性能。 8. **Gradle插件更新**:Spring Boot Gradle插件也得到了改进,提供更灵活的构建选项,包括对...
spring-boot-2.2.0.RELEASE.zip
04-21
7. **日志改进**:日志系统进行了优化,提供了对Logback的自动配置,以及对Log4j2的更好支持。 在实际应用中,Spring Boot 2.2.0.RELEASE提供了以下便利: 1. **快速启动**:Spring Boot的"约定优于配置"原则使得...
Apache-Log4j-Learning-main.zip
06-02
4. **缓解措施**:提供修复漏洞的步骤,如更新到最新版本的Log4j,禁用JNDI查找,或者使用环境变量来限制JNDI链接的处理。 5. **案例研究**:可能包含过去发生的实际攻击案例,以便学习如何防止类似攻击。 6. **安全...
2023苏州:Hacking-Spring.pdf
01-12
- 使用自动化工具如Murphysec Code Scan进行快速扫描,这类工具可以快速检测出常见的安全漏洞,如Fastjson、Shiro、Log4j和Hessian等的版本问题。 - 人工审计的优点在于能深入分析代码数据,结合专家经验来发现...
spring boot log4j2 漏洞修复
流月up的博客
10-16 165
log4j2的bug修复,局部版本升级
log4j2(spring-boot-starter-log4j2)高危漏洞
qq984676583的博客
12-14 1086
2021-12-14今天大家都很忙吧!因为出现了log4j2的高危漏洞,大家都在修复代码吧 废话不多说,上代码 1、pom.xml文件配置中 <!-- 引入log4j2依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </d
SpringBoot及SpringCloud解决Apache Log4j任意代码执行漏洞方法,附临时紧急处理方法5选1(所有JAVA程序均可)【完全清理解决三方组件引用log4j2】
qq_36387334的博客
12-13 5153
本方法主要用于配置修改,完全清理spring boot已经去除了spring-boot-starter-log4j2并切换使用logback,打包依然发现存在log4j相关包存在的解决办法。 现阶段不建议修改log4j2版本号,首先官方目前2个修复版本均发现可以绕过,尚无稳定版本**,并且各组件还是需要考虑可能兼容等问题。(更新:可以参考临时方法5直接更新版本号)
Spring Boot Log4j2漏洞修复
涛哥是个大帅比
06-28 994
如果使用的是 Log4j 1.x、Logback或者其他日志框架,不受漏洞影响。如果使用Spring Boot默认日志,也是没有问题的,因为默认是Commons Logging。 Spring Boot框架只有在以下情况下才会受到此漏洞的影响:Log4J2 Vulnerability and Spring Boot https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot1.将默认日志切换到Log4J22.集成了spri
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 1952
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
java之log4j反序列化
weixin_45653478的博客
07-20 1157
Log4j2默认支持解析ldap/rmi协议(只要打印的日志中包括ldap/rmi协议即可),并会通过名称从ldap服务端获取对应的Class文件,使用ClassLoader在本地加载Ldap服务端返回的Class类。
Python中的异常处理与调试技巧
最新发布
Dxy1239310216的博客
07-24 176
异常(Exception)是程序运行过程中发生的错误或异常情况,它会打断程序的正常流程。Python中的异常可以是语法错误(如拼写错误),也可以是运行时错误(如除零错误)。异常处理和调试是Python编程中不可或缺的技能。通过合理使用try-except语句、掌握调试技巧,并借助IDE和日志等工具,你可以更加高效地识别并解决代码中的问题,编写出更加健壮和可靠的程序。希望本文对你有所帮助,祝你在Python编程的道路上越走越远!
spring-boot-starter-log4j2红
08-18
spring-boot-starter-log4j2是一个用于集成log4j2日志框架的Spring Boot starter依赖。要在项目中使用log4j2作为日志框架,需要在pom.xml文件中添加该依赖。具体的配置步骤如下: 1. 首先,在pom.xml文件中添加spring-boot-starter-log4j2依赖,如引用所示。 2. 接下来,需要过滤掉Spring Boot自带的日志依赖spring-boot-starter-logging。可以通过在pom.xml文件中添加spring-boot-starter-web依赖,并在该依赖中进行排除操作,如引用所示。 3. 最后,根据项目的具体需求进行log4j2的配置,例如配置日志输出路径、日志级别等。详细的配置方法可以参考log4j2的官方文档或其他相关资源。 通过以上步骤,就可以成功集成并使用spring-boot-starter-log4j2来管理项目的日志输出。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringBoot配置log4j2详解](https://blog.csdn.net/m0_61035392/article/details/119779407)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值