Springboot 解决Log4j 漏洞问题

最新推荐文章于 2024-04-23 23:57:50 发布
最新推荐文章于 2024-04-23 23:57:50 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: springboot 文章标签: java eureka postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_37792529/article/details/122046061
版权

对于线上项目和对SpringBoot 版本有要求的(不能升级boot版本的 )项目更改方法是去除之前的log4j jar包,添加最新的jar包 

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-jul</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-jul</artifactId>
    <version>2.17.0</version>
</dependency>

如果你用的是logback

  <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
      <exclusions>
        <exclusion>
          <groupId>org.springframework.boot</groupId>
          <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
      </exclusions>
    </dependency>
  <dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.2.3</version>
</dependency>
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-core</artifactId>
    <version>1.2.3</version>
</dependency>

########################################################################

springboot  官网做出回应 给出整改方案  直接升级 boot-starter 到2.6.2

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>2.6.2</version>
  <type>pom</type>
</dependency>

2.6.2修复的内容  直接把log4j  升级到2.17.0

仅借清风几许几
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot框架配置log4jlog4j2的配置代码
11-29
SpringBoot框架配置log4jlog4j2的配置代码,项目中用到的配置文件,可下载使用
springboot-log4j.zip
05-30
springboot整合log4j的代码。
Springboot项目升级Log4j版本,修复漏洞
qq_37507261的博客
12-13 3629
排除原本jar包,引入最新版本 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.bo
有关于springboot项目如何删除指定(log4j)的jar包
weixin_44507219的博客
12-31 3535
最近最银行项目,使用的主框架是springboot,因为springboot的自动装配机制,自动把log4j的jar包导入到项目中来了,如下图: 实际上我们用的logback,并没有用到log4j,但由于最近的log4j漏洞,此jar包会对代码过审带来影响,所以最终把此log4j的jar包剔除了项目。 剔除的方法很简单,我们只要在pom.xml文件里做如下配置就OK了。 因为是在导入springboot核心依赖的时候,由于springboot的...
Spring Boot入门(21):使用Spring Boot和Log4j2进行高效日志管理:配置详解
最新发布
喵手的博客
04-23 1339
添加Log4j2的依赖;配置Log4j2;使用Log4j2记录日志。
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4037
spring-boot-starter-log4j2漏洞修复方式
关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决
Specif1c的博客
01-23 3898
前言: springboot 项目一般使用 log4j 是直接引入 spring-boot-starter-log4j 启动器依赖,但是官方提供最新的 spring-boot-starter-log4j 版本是 2016年 的,存在 log4j 远程代码执行漏洞风险。 在此我将演示如何修复启动器依赖的方法。 一、排除 spring-boot-starter-log4j 原有的相关依赖: <dependency> <groupId>org.spr
Spring Boot整合log4j实战(一):排除自带依赖、日志重定向、测试类验证
USTSD的博客
12-02 1216
〇、参考资料 1、springboot整合log4j全过程详解 https://blog.csdn.net/m0_60845963/article/details/123307232 2、Spring Boot 全局排除 spring-boot-starter-logging 依赖 https://blog.csdn.net/weixin_40690761/article/details/117...
Springboot整合log4j2日志全解总结
08-26
主要介绍了Springboot整合log4j2日志全解总结,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot使用Log4j过程详解
08-25
主要介绍了SpringBoot使用Log4j过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot使用Log4j的知识点整理
08-25
在本篇文章里小编给大家整理的是关于SpringBoot使用Log4j的知识点,需要的朋友们可以参考学习下。
springboot 排除 默认的loggback 和slf4j的依赖
Gblfy_Blog
11-05 3341
文章目录异常现象:解决方案:总结 异常现象: SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/D:/Program%20Files/JavaEclipse/repo/ch/qos/logback/logback-classic/1.2.3/logback-classic-1.2.3.jar!/org/slf4j/impl/StaticLoggerBinder.class] SLF4J
Apache Log4j 漏洞 Springboot完美避坑
猿先生
12-14 681
最近的Apache Log4j 爆核弹级漏洞大家相比熟知并且深受其害了,但是如果当前项目用的是springboot的框架,大家大可不必担心,可在测试类里打出这几行代码就可以看看是否有没有此问题了。具体代码如下: String username = "${java:os}"; log.info("testLog, {} !", username); 如果输出是testLog, ${java:os} ! 那么恭喜您成功避坑了。 ...
springboot定时删除log4j_【Springboot】实例讲解Springboot整合链路追踪系统(Jaeger和Zipkin)
weixin_39969953的博客
11-20 251
1 分布式追踪系统随着大量公司把单体应用重构为微服务,对于运维人员的责任就更加重大了。架构更复杂、应用更多,要从中快速诊断出问题、找到性能瓶颈,并不是一件容易的事。因此,也随着诞生了一系列面向DevOps的诊断与分析系统,主要是以下三个系统:集中式日志系统(Logging)集中式度量系统(Metrics)分布式追踪系统(Tracing)三者相互交织重叠如下:loggin_metrics_traci...
springboot定时删除log4j_SpringBoot整合log4j2进行日志配置及防坑指南
weixin_39738152的博客
11-26 1916
1、Log4j2优点具体优点可以参考官方文档:https://logging.apache.org/log4j/2.x/我这边只简单说一下:相比与其他的日志系统,log4j2丢数据的情况少;在多线程环境下,性能高于logback等10倍以上;利用jdk1.5并发的特性,减少了死锁的发生这里列举一下,网上关于相关日志系统的性能测试图,仅做参考性能测试图2、SpringBoot整合Log4j2配置2....
使用slf4j时排除springboot自带logging包(排干净)
平底锅3号
02-17 2870
日志配置引用文章:Spring Boot采用yml的方式配置 Log4j2 日志文件_贤和知识点收藏-CSDN博客_log4j2.yml 配置按博主的方式配置完成后出现以下错误,这种情况是排除不干净的问题,另外我是使用多module的方式进行的。 发生错误:log4j-slf4j-impl cannot be present with log4j-to-slf4j Caused by: org.apache.logging.log4j.LoggingException: log4j-slf4j-imp
解决spring-boot-starter-logging与log4j冲突
weixin_30824277的博客
06-19 695
由于公司在super-bom里配置了检查规则,build项目时遇到错误: [ERROR] [XXX Enforcer Rules] find DuplicateClasses Found in:org.apache.logging.log4j:log4j-slf4j-impl:jar:2.6.2:compilech.qos.logback:logback-classic:j...
SpringBoot使用Log4j2
qq_43750656的博客
11-21 494
log4j2日志组件 SpringBoot使用log4j2
Springboot的日志配置:排除被log4j抢占slf4j实现、及mybatis-plus日志配置
rocklee的专栏
03-24 1999
有个dubbo项目,发现logback的配置不生效,第一时间怀疑springboot的默认slf4j的logback是不是被抢了,于是查一下依赖树: mvn dependency:tree >a.txt 然后打开a.txt查一下log4j,结果发现dubbo-registry-nacos里面依赖了log4j:log4j,于是用exclusion排除了它,日志正常。 然后,通过err log又发现Version.class,Exchangers.class,Transporters.class,Remo
springboot log4j2漏洞修复
06-28
Spring Boot Log4j2漏洞修复指的是修复Spring Boot应用程序中使用的Log4j2库中存在的漏洞。这些漏洞可能会导致攻击者利用恶意代码来执行远程命令或者进行其他恶意行为。为了修复这些漏洞,开发人员需要升级Log4j2库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值