2021.12.15 log4j2漏洞解决(SpringBoot,SpringCloud,SpringCloud Alibaba)

于 2021-12-15 20:54:22 发布
阅读量2k 收藏 6
点赞数 3
分类专栏: java log4j 文章标签: log4j2 spring boot spring cloud spring cloud alibaba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41256727/article/details/121955186
版权

log4j2漏洞解决(2021.12.15)

1. 简单复现

maven依赖

     <!-- lombok支持 -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.12</version>
        </dependency>

        <!-- 复现方式1:springboot引入log4j2依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-log4j2</artifactId>
            <version>2.2.5.RELEASE</version>
        </dependency>

        <!-- 复现方式2:普通引入log4j2依赖 -->
<!--        <dependency>-->
<!--            <groupId>org.apache.logging.log4j</groupId>-->
<!--            <artifactId>log4j-api</artifactId>-->
<!--            <version>2.12.1</version>-->
<!--        </dependency>-->
<!--        <dependency>-->
<!--            <groupId>org.apache.logging.log4j</groupId>-->
<!--            <artifactId>log4j-core</artifactId>-->
<!--            <version>2.12.1</version>-->
<!--        </dependency>-->

测试

//@Slf4j 复现方式1
public class Test {

    //复现方式2
    //static Logger log = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);

    public static void main(String... args) {
        log.error("${java:os}");
        //日志打印出: Windows 10 10.0, architecture: amd64-64
    }

}

2. 简单自查

2.1.查看maven仓库(IntelliJ IDEA -> setting -> maven)

我的仓库在:D:/apache-maven-3.6.3

2.2. 查找log4j2依赖版本

打开对应文件夹:D:\apache-maven-3.6.3\repository\org\apache\logging\log4j\log4j-api
在这里插入图片描述

2.3. 注意事项

引入了spring-boot-starter或者spring-boot-starter-web,默认的日志是logback。即使没有修改默认框架为log4j2, 仍需提高log4j2的版本(也要注意其他jar包依赖)。

3. 如何解决

用最简单的方法指定log4j2版本(高于2.16.0版本是安全的版本),清空D:\apache-maven-3.6.3\repository\org\apache\logging文件夹,
重新下载依赖,发现log4j2版本已变成2.16.0,至此问题已解决。或者使用IntelliJ IDEA查看依赖信息

    <!-- 提高依赖版本 解决:普通引入log4j2依赖不指定版本,在版本锁定里面指定 -->
  		<dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <!--<version>2.12.1</version>-->
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <!--<version>2.12.1</version>-->
        </dependency>

    <!-- 锁定版本 解决:springboot引入log4j2依赖问题 -->
    <dependencyManagement>
        <dependencies>
            <!-- 指定log4j2相关依赖 -->
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-to-slf4j</artifactId>
                <version>2.16.0</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>2.16.0</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>2.16.0</version>
            </dependency>
        </dependencies>
    </dependencyManagement>

在这里插入图片描述

4. 请将log4j2相关依赖的版本提升至2.17.0

何必太菜
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值