log4j2高危漏洞,排除log4j2依赖。

已于 2022-03-08 18:50:39 修改
阅读量5.4k 收藏 3
点赞数 1
分类专栏: Spring 文章标签: java spring boot 安全
于 2021-12-13 14:24:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010797364/article/details/121904438
版权

Log4j2 安全漏洞 依赖管理 排除法 修复措施
关键词由CSDN通过智能技术生成

Log4j2是一款优秀的java日志框架,被大量用于业务开发,可能项目本身没有直接使用,但是引用的依赖包中仍然可能用到。只要用户输入的数据会被日志记录,就可被成功攻击。

影响范围Apache Log4j 2.x <= 2.15.1-rc1。

只影响到log4j2,并不影响log4j,如果你是log4j则不用担心。

Log4j和Log4j2的区别:
log4j只需要引入一个jar包即可,

<dependency>
 <groupId>log4j</groupId>
 <artifactId>log4j</artifactId>
 <version>1.2.17</version>
</dependency>

而log4j 2则是需要2个核心:

<dependency>
 	<groupId>org.apache.logging.log4j</groupId>
 	<artifactId>log4j-core</artifactId>
 	<version>2.5</version>
</dependency>

<dependency>
 	<groupId>org.apache.logging.log4j</groupId>
 	<artifactId>log4j-api</artifactId>
 	<version>2.5</version>
</dependency>

我查看了一下我们的项目依赖图:
下面是如何用IDEA查看类之间的继承关系

选中你要查看的某个类或者接口,右键出现如下选项,按图操作:
在这里插入图片描述

在这里插入图片描述
这个是第三方依赖内部引入了 log4j2 的两个核心包2.11.1的版本,看来我这里也有漏洞。

如果是加急处理 先找到父级依赖,先把这两个包排除掉就行了。
找到要排除Jar的和,使用exclusion排除。

		<!-- spring security 安全认证 -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
			<exclusions>

				<exclusion>
					<groupId>org.apache.logging.log4j</groupId>
					<artifactId>log4j-api</artifactId>
				</exclusion>

				<exclusion>
					<groupId>org.apache.logging.log4j</groupId>
					<artifactId>log4j-web</artifactId>
				</exclusion>

			</exclusions>
		</dependency>
抹香鲸之海
关注
专栏目录
Java序列化与JNDI注入漏洞案例实战
悦分享
08-04 442
序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。序列化的使用场景很广,比如服务器收到请求参数,一种处理方式是一个个解析数据,自己构建处理数据。还有一种就是直接将数据反序列化为对象。当要把对象存储到缓存时,我们可以自己解析对象生成数据保存到缓存,取出时也自己处理数据转换为对象,也可以直接借助语言的序列化机制帮我们将对象序列化为数据存储起来,从缓存里获取数据后直接反序列化转为对象。在这些场景里,很明显序列化机制能极大改善我们的编程体验。Java 序列化基础。...
移除项目所有jar对log4j2 依赖
峡谷电光马仔的博客
01-12 1137
前一段apache log4j2漏洞闹得沸沸扬扬,影响范围是Log4j 2.x <= 2.15.1-rc1,我们用的是2.12 ,所以我也是紧急切换移除了log4j2, 切换回了logback ,以后版本修复以后可以切换新版本log4j2 ,我搭建的项目是基于alibaba nacos生态圈,其中很多第三方的spring-boot-starter内部其实以及依赖log4j-api ,一个个排查肯定是没效率的,我用的是idea的插件 maven helper 大部分应该都接触过,这个可以很.
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
深入解析:Spring Boot中使用Log4j2进行日志管理
最新发布
m0_62153576的博客
09-05 523
通过本文的介绍,你应该能够理解如何在Spring Boot应用中集成Log4j2,并使用SLF4J API进行日志记录。这种配置不仅提供了灵活的日志管理,还允许我们通过简单的配置来自定义日志的输出格式。
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4127
spring-boot-starter-log4j2漏洞修复方式
log4j2.xml配置文件不生效
hey_wei_ran的博客
03-18 1022
log4j2.xml配置文件不生效
在IDEA的java项目中使用log4j,配置文件log4j2-test.xml不生效
李闪闪
10-03 4551
1、log4j2-test.xml配置看官网:Log4j – Configuring Log4j 2https://logging.apache.org/log4j/2.x/manual/configuration.html 2、问题:控制台输出日志信息,修改level的的值不生效,仍是只能输出error以上级别的信息 <?xml version="1.0" encoding="UTF-8"?> <Configuration status="warn"> <Appen
Log4j2.xml不生效:WARN StatusLogger Multiple logging implementations found:
听香水榭
11-24 1630
处理log4j2.xml不生效问题
Apache Log4j2模拟漏洞复现及解决方案
qrainly的博客
12-13 3846
上周五有关开源日志框架Log4j2高危漏洞预警发出后,这几天各大互联网公司都在加班加点做紧急漏洞处理。这是个什么漏洞呢?有多大危害,搞得互联网任人心惶惶!
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4595
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
Springboot之actuator配置不当漏洞(autoconfig、configprops、beans、dump、env、health、info、mappings、metrics、trace)
墨痕诉清风的博客
10-11 6904
Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。Actuator 配置不当导致应用系统监控信息泄露对应用系统及其用户的危害是巨大的,然而关于 springboot 框架下 actuator 配置不当的漏洞利用分析文章很少,目前笔者只在先知社
2万字软件测试面试题干货带答案,反手我就一个收藏
m0_57290404的博客
06-14 1698
需求分析、编写测试用例、评审测试用例、搭建环境、等待程序开发包、部署程序开发包、冒烟测试、执行具体的测试用例细节、Bug 跟踪处理回归测试、N 轮之后满足需求,测试结束第一类标准:测试超过了预定时间,则停止测试。第二类标准:执行了所有的测试用例,但并没有发现故障,则停止测试。第三类标准:使用特定的测试用例设计方案作为判断测试停止的基础第四类标准:正面指出停止测试的具体要求,即停止测试的标准可定义为查出某一预订数目的故障。第五类标准:根据单位时间内查出故障的数量决定是否停止测试1) 应当把“尽早地和不断地进行
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 1842
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
springboot log4j升级log4j2
Mint6的博客
05-13 1629
log4j2升级步骤 在多线程情况下,使用log4j可能会阻塞其他线程,从而导致整体性能下降并出现性能瓶颈。所以需要升级到性能更好并支持异步的log4j2
Log4j 漏洞修复和临时补救方法
12-14 3801
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
logback替换log4j
weixin_30810583的博客
01-11 270
1.新建logback.xml放在src目录下(放在src下会自动加载,不需要再web.xml配置) 2.引入必要的jar包; 转载于:https://www.cnblogs.com/chafe/p/6274322.html
解决log4j2配置文件失效的问题
热门推荐
Parker的博客
07-19 1万+
今天运行项目的时候,查看控制台突然发现日志的输出格式变了,但最近又没动过log4j的配置文件,所以非常的困惑。 最后怀疑是加载了别的地方的配置文件或者因为某些原因使用了默认的配置属性。 后来在网上发现很多相类似的问题,其中大多数原因都是因为包冲突或包里含有额外的配置文件等造成的。 由此我也怀疑是最近新增加的activemq-all包而引发的问题。 于是在Tomcat的VM参数里添加-Dlo...
Log4j2 CVE-2021-45046 鸡肋RCE漏洞复现与浅析
mole_exp的博客
12-21 4537
文章目录0x00 前言 0x00 前言 自从上上周四(12月9日晚)Log4Shell(CVE-2021-44228)漏洞被披露后引发了安全圈地震,笔者就立刻对该漏洞进行复现和分析,并持续跟踪这个漏洞后续的资讯动态。
Log4j漏洞修复
培根芝士的专栏
12-30 2105
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。 12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 简单来说,就是在打印日志时,如果发现日志内
Log4j 2漏洞应急处理与检测工具教程
资源摘要信息:"Apache Log4j 2代码漏洞处置指南及检测工具.zip" Apache Log4j 2是Apache软件基金会旗下的一个开源日志记录库,广泛应用于Java应用程序中。近年来,Log4j 2被发现存在严重的远程代码执行漏洞,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值