Springboot 解决Log4j 漏洞问题

最新推荐文章于 2024-06-13 11:42:37 发布
最新推荐文章于 2024-06-13 11:42:37 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: springboot 文章标签: java eureka postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_37792529/article/details/122046061
版权

对于线上项目和对SpringBoot 版本有要求的(不能升级boot版本的 )项目更改方法是去除之前的log4j jar包,添加最新的jar包 

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-jul</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-jul</artifactId>
    <version>2.17.0</version>
</dependency>

如果你用的是logback

  <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
      <exclusions>
        <exclusion>
          <groupId>org.springframework.boot</groupId>
          <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
      </exclusions>
    </dependency>
  <dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.2.3</version>
</dependency>
<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-core</artifactId>
    <version>1.2.3</version>
</dependency>

########################################################################

springboot  官网做出回应 给出整改方案  直接升级 boot-starter 到2.6.2

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>2.6.2</version>
  <type>pom</type>
</dependency>

2.6.2修复的内容  直接把log4j  升级到2.17.0

仅借清风几许几
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot升级log4j2,解决漏洞问题
芝麻年糕的博客
12-17 6801
最近log4j2爆出有重大漏洞问题,公司也紧急要求各个项目自己查验,要求将log4j的版本升到安全版本
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
2401_83916326的博客
04-18 867
当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。为了解决 Log4j2 近期发生的核弹级漏洞,Spring Boot 之前说新版本会升级到 Log4j v2.15.0,其中囊括了JVM、锁、并发、Java反射、Spring原理、微服务、Zookeeper、数据库、数据结构等大量知识点。其他的 Spring Boot 2.4.x 及以下的版本线不受支持。Gradle 项目的升级也是同理,略。
Springboot项目升级Log4j版本,修复漏洞
qq_37507261的博客
12-13 3660
排除原本jar包,引入最新版本 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.bo
有关于springboot项目如何删除指定(log4j)的jar包
weixin_44507219的博客
12-31 3702
最近最银行项目,使用的主框架是springboot,因为springboot的自动装配机制,自动把log4j的jar包导入到项目中来了,如下图: 实际上我们用的logback,并没有用到log4j,但由于最近的log4j漏洞,此jar包会对代码过审带来影响,所以最终把此log4j的jar包剔除了项目。 剔除的方法很简单,我们只要在pom.xml文件里做如下配置就OK了。 因为是在导入springboot核心依赖的时候,由于springboot的...
Spring boot集成log4j及日志配置详解,实战,ELK使用教程。
最新发布
Java码农杂谈
06-13 2677
详细介绍了如何在 SpringBoot 项目中集成 Log4j 以及 Log4j 配置文件的各种配置方法。通过合理地配置日志系统,我们能够更好地进行故障排查、性能监控和安全审计。进一步地,通过日志数据采集和分析工具,我们能够实现对日志数据的深度挖掘,为我们的应用提供了更便捷的数据可视化等支持。
关于 spring-boot-starter-log4j 启动器依赖如何修复 log4j 漏洞以及相关问题解决
Specif1c的博客
01-23 4147
前言: springboot 项目一般使用 log4j 是直接引入 spring-boot-starter-log4j 启动器依赖,但是官方提供最新的 spring-boot-starter-log4j 版本是 2016年 的,存在 log4j 远程代码执行漏洞风险。 在此我将演示如何修复启动器依赖的方法。 一、排除 spring-boot-starter-log4j 原有的相关依赖: <dependency> <groupId>org.spr
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4113
spring-boot-starter-log4j2漏洞修复方式
Spring Boot整合log4j实战(一):排除自带依赖、日志重定向、测试类验证
USTSD的博客
12-02 1268
〇、参考资料 1、springboot整合log4j全过程详解 https://blog.csdn.net/m0_60845963/article/details/123307232 2、Spring Boot 全局排除 spring-boot-starter-logging 依赖 https://blog.csdn.net/weixin_40690761/article/details/117...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
springboot 排除 默认的loggback 和slf4j的依赖
Gblfy_Blog
11-05 3529
文章目录异常现象:解决方案:总结 异常现象: SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/D:/Program%20Files/JavaEclipse/repo/ch/qos/logback/logback-classic/1.2.3/logback-classic-1.2.3.jar!/org/slf4j/impl/StaticLoggerBinder.class] SLF4J
Apache Log4j 漏洞 Springboot完美避坑
猿先生
12-14 694
最近的Apache Log4j 爆核弹级漏洞大家相比熟知并且深受其害了,但是如果当前项目用的是springboot的框架,大家大可不必担心,可在测试类里打出这几行代码就可以看看是否有没有此问题了。具体代码如下: String username = "${java:os}"; log.info("testLog, {} !", username); 如果输出是testLog, ${java:os} ! 那么恭喜您成功避坑了。 ...
springboot定时删除log4j_【Springboot】实例讲解Springboot整合链路追踪系统(Jaeger和Zipkin)
weixin_39969953的博客
11-20 280
1 分布式追踪系统随着大量公司把单体应用重构为微服务,对于运维人员的责任就更加重大了。架构更复杂、应用更多,要从中快速诊断出问题、找到性能瓶颈,并不是一件容易的事。因此,也随着诞生了一系列面向DevOps的诊断与分析系统,主要是以下三个系统:集中式日志系统(Logging)集中式度量系统(Metrics)分布式追踪系统(Tracing)三者相互交织重叠如下:loggin_metrics_traci...
springboot定时删除log4j_SpringBoot整合log4j2进行日志配置及防坑指南
weixin_39738152的博客
11-26 1961
1、Log4j2优点具体优点可以参考官方文档:https://logging.apache.org/log4j/2.x/我这边只简单说一下:相比与其他的日志系统,log4j2丢数据的情况少;在多线程环境下,性能高于logback等10倍以上;利用jdk1.5并发的特性,减少了死锁的发生这里列举一下,网上关于相关日志系统的性能测试图,仅做参考性能测试图2、SpringBoot整合Log4j2配置2....
使用slf4j时排除springboot自带logging包(排干净)
平底锅3号
02-17 3105
日志配置引用文章:Spring Boot采用yml的方式配置 Log4j2 日志文件_贤和知识点收藏-CSDN博客_log4j2.yml 配置按博主的方式配置完成后出现以下错误,这种情况是排除不干净的问题,另外我是使用多module的方式进行的。 发生错误:log4j-slf4j-impl cannot be present with log4j-to-slf4j Caused by: org.apache.logging.log4j.LoggingException: log4j-slf4j-imp
解决spring-boot-starter-logging与log4j冲突
weixin_30824277的博客
06-19 714
由于公司在super-bom里配置了检查规则,build项目时遇到错误: [ERROR] [XXX Enforcer Rules] find DuplicateClasses Found in:org.apache.logging.log4j:log4j-slf4j-impl:jar:2.6.2:compilech.qos.logback:logback-classic:j...
spring-boot-starter-web依赖
azzk0520的博客
06-15 789
查看spring-boot-starter-web依赖文件源码,核心代码具体如下 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <version>2.2.2.RELEASE</version> <sco
SpringBoot使用Log4j2
qq_43750656的博客
11-21 506
log4j2日志组件 SpringBoot使用log4j2
Springboot的日志配置:排除被log4j抢占slf4j实现、及mybatis-plus日志配置
rocklee的专栏
03-24 2059
有个dubbo项目,发现logback的配置不生效,第一时间怀疑springboot的默认slf4j的logback是不是被抢了,于是查一下依赖树: mvn dependency:tree >a.txt 然后打开a.txt查一下log4j,结果发现dubbo-registry-nacos里面依赖了log4j:log4j,于是用exclusion排除了它,日志正常。 然后,通过err log又发现Version.class,Exchangers.class,Transporters.class,Remo
SpringBoot及SpringCloud解决Apache Log4j任意代码执行漏洞方法,附临时紧急处理方法5选1(所有JAVA程序均可)【完全清理解决三方组件引用log4j2】
qq_36387334的博客
12-13 5223
本方法主要用于配置修改,完全清理spring boot已经去除spring-boot-starter-log4j2并切换使用logback,打包依然发现存在log4j相关包存在的解决办法。 现阶段不建议修改log4j2版本号,首先官方目前2个修复版本均发现可以绕过,尚无稳定版本**,并且各组件还是需要考虑可能兼容等问题。(更新:可以参考临时方法5直接更新版本号)
springboot log4j2漏洞修复
06-28
### 回答1: Spring Boot Log4j2漏洞修复指的是修复Spring Boot应用程序中使用的Log4j2库中存在的漏洞。这些漏洞可能会导致攻击者利用恶意代码来执行远程命令或者进行其他恶意行为。为了修复这些漏洞,开发人员需要升级Log4j2库到最新版本,并且配置Log4j2以避免受到攻击。此外,还需要对应用程序进行安全审计,以确保没有其他漏洞存在。 ### 回答2: 在修复Spring Boot Log4j2漏洞之前,我们需要了解该漏洞是什么以及它的影响。Spring Boot Log4j2漏洞是一种远程代码执行漏洞,可能允许攻击者在目标系统上执行恶意代码。该漏洞存在于Spring Boot应用程序中使用的Log4j2库中,该库允许攻击者通过发送恶意请求来触发漏洞并执行代码。攻击者可以利用此漏洞从远程地方执行任意代码,包括在目标系统上上传和执行恶意软件、访问受保护的数据等。 为修复Spring Boot Log4j2漏洞,需要按照以下步骤进行操作: 1. 升级Log4j2版本:如果您使用的是Spring Boot 2.1.x,则需要将该应用程序升级到Spring Boot 2.1.24及更高版本,该版本已解决漏洞。如果您使用的是Spring Boot 2.2.x或更运行的版本,则需要升级到Spring Boot 2.2.18及更高版本。通过此操作,可以更新您的应用程序中使用的Log4j2库,从而修复漏洞。 2. 禁用Log4j2:如果您无法升级到最新版本或不想升级,则可以禁用Log4j2。您可以在应用程序的配置文件中进行相应的更改。如果您使用的是Spring Boot 1.x版本,则可以禁用日志记录,然后将应用程序转换为使用Logback或其他日志库。如果您使用的是Spring Boot 2.x版本,则可以使用spring-boot-starter-logging库中的其他日志记录器。 3. 更新应用程序代码:如果您无法升级版本或禁用Log4j2,则需要在应用程序代码中进行更改,以减轻漏洞的影响。建议使用最新的Java安全管理器,并在代码中使用安全方案,以确保应用程序在支持的特权下运行。 修复Spring Boot Log4j2漏洞对于保障应用程序的安全至关重要。我们建议应用程序开发者及时采取相应的措施,确保应用程序不会受到任何风险的威胁。同时,我们还建议应用程序在运行期间定期检查和更新库,以保持最新的安全补丁。 ### 回答3: Spring Boot是目前Java应用开发领域里非常流行的一种轻量级框架。而Log4j2是一款常用的Java日志框架,可以帮助Java程序员更好地管理应用的日志。但是,近来Log4j2存在着一个被多个漏洞编号CVE-2021-44228所包含的严重漏洞,存在导致系统被攻击的危险。本文将介绍这个漏洞及其修复方法。 漏洞概述: 由于Log4j2中的JNDI注入漏洞,攻击者可以通过web请求中的恶意JNDI名称从远程服务器上下载jar包,导致恶意攻击。这个漏洞主要存在于如下代码中。 { <PatternLayout pattern="%highlight{%d{yyyy-MM-dd HH:mm:ss.SSS} [%-5p] [%t] %c{1.} - %m%n%ex}{WARN=Bright Yellow,ERROR=Bright Red,FATAL=Bright Red}" /> } 漏洞修复方法: 1.升级log4j2到最新版本:由于Log4j2官方已发布最新的2.17.0版本,此版本已修复该漏洞,用户可以升级到此版本以避免漏洞带来的安全隐患。 2.移除JMS Appender配置:如果升级日志框架不现实,可以选择移除JMS Appender配置以避免被攻击风险,具体实现方法如下: (1)移除log4j2.xml或log4j2.properties文件中的JMS Appender配置。 (2)升级log4j-web相关的jar包,升级到2.17.0及以上版本。 总结: 如果您的应用程序使用的是Log4j2版本低于2.17.0的版本,则应尽快升级到该版本并修改配置文件,如果不能升级到该版本,则需要尽快移除JMS Appender配置以及升级相关的jar包版本,以避免被漏洞攻击所影响。我们还建议应用程序部署人员定期检测该漏洞,以保证应用的安全运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值