解决log4j漏洞(maven版本切换、版本冲突)

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量7.7k 收藏 5
点赞数 2
分类专栏: Maven 文章标签: maven java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42351206/article/details/121902585
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录的

上周四(20211209),发生了一件大事,log4g从2.0开始到2.14.1(2.14.1漏洞修复)之前。存在重大漏洞。这里教大家怎么切换版本,修复漏洞。本人水平有限,如有误导,欢迎斧正,一起学习,共同进步!

前言

思路:重新在项目中导入新的log4j的依赖,然后解决冲突,将有问题的版本替换为正常的版本

具体步骤

1、找到项目,并打开maven的依赖图
在这里插入图片描述
2、进入到此界面以后,ctrl+f 搜索 log4j
在这里插入图片描述
3、搜到以后,光标放上去,此时是 2.13.3 这个版本是有问题的
在这里插入图片描述
4、添加新的修复漏洞后的依赖

<dependency>
	<groupId>org.apache.logging.log4j</groupId>
	<artifactId>log4j-to-slf4j</artifactId>
	<version>2.14.1</version>
</dependency>

5、打开Dependency Analyzer 页面(此界面需要idea中安装 maven helper 插件)

在这里插入图片描述
6、找到冲突的依赖,右键,exclude
在这里插入图片描述
7、reimport 重新导入maven依赖
8、重新打开 Dependency Analyzar 并且要 Refresh UI ,刷新后,会发现log4j的冲突没有了
在这里插入图片描述
9、此时重新找到项目,右键 show Dependencies… 完成版本的切换,(从2.13.3 切换至 2.14.1)
在这里插入图片描述

总结

其实最开始我试图根据maven依赖网去一级一级的搜索替换,不过替换的过程中发现一级一级的依赖太多,太麻烦了,索性不如直接替换,也省心省力了。

郑..方..醒
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jboss log4j冲突分析与解决
youfly的专栏
02-13 5571
Log4j作为日志组件被大多数的系统所使用,Jboss也不例外的采用了Log4j作为它的日志输出组件。但在使用JBoss时,很多人经常碰到一些冲突,这些冲如自己配置的log4j文件无效,系统抛org.jboss.logging.util.OnlyOnceErrorHandlerobject is not assignable to a org.apache.log4j.spi.Erro
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4jlog4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...
log4j2漏洞修复指南
Django的博客
12-13 2890
背景 漏洞名称: Apache Log4j 远程代码执行漏洞 漏洞等级: 严重 漏洞描述: Apache Log4j2是一款优秀且应用非常广泛的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Fli
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
weixin_42340783的博客
06-03 922
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
Mac在idea中使用maven出现log4j错误解决方法
qq_73574815的博客
10-09 291
2.选择新建Resource Bundle文件。1.找的你maven项目的resources。3.输入log4j后,点击OK。4.最后在文件中输入下面的代码。5.希望能够帮助到你!
Log4j 版本问题 Mark
hiber的专栏
02-06 1527
今天遇到一个log4j日志问题,花了我很长时间,特记录下来备注,以后不犯类似的错 现象 我的一个程序放在tomcat上运行, 它会自动创建日志目录 和日志文件  workLog/run.log 可是我放在was上面,程序能正常运行,却找不到日志,在控制台找到异常信息:抛在服务器上找不到写的日志文件,经过核查发现它没有自动生成我的日志目录WorkLog。 解决方案 经过核对N久的配置无果,
log4J2和logback冲突和共存解决方法
qq_21588061的博客
04-12 1619
一个在线编辑器调试打印日志功能,需要提供logback和log4j2不同日志框架的日志功能供使用方自由选择。
log4j2包冲突修复
大道至简
01-31 384
log4j-slf4j-impl 项目中部分class的日志无法打印,这时首先我们应该想到的就是日志包冲突问题; 但是,当我们打开maven一看,无论是直接引入还是间接引入,里面充斥了形形色色的log包;这里应该怎么排除呢?
maven+springmvc+mybatis+log4j框架搭建
02-12
本教程将详细阐述如何使用四个关键组件——Maven、SpringMVC、MyBatis和Log4j——来搭建一个强大的Web应用框架,旨在提高开发效率并优化项目管理。 **Maven** 是一个流行的项目管理和综合工具,它通过统一的构建...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
总结来说,Log4j2.16.0是一个关键的安全更新,解决Log4j2框架中的“Log4Shell”漏洞。对于使用若依框架或其他依赖Log4j2的项目,升级到这个版本至关重要,可以避免系统遭受恶意攻击。用户需要下载并正确安装这个...
log4j支持jar包
07-09
log4j支持jar包,jar包中的PropertyConfigurator.configure可以读取log4j的配置文件
log4j2配置文件
03-13
log4j2配置,文件分割,自动清除等相关配置。
log4j2必需jar包
09-30
log4j2必需jar包,包含log4j-api-2.11.1.jar和log4j-core-2.11.1.jar
扫描log4j2 版本扫描log4j2 版本
12-16
2. **版本确认**:然后,通过查看项目配置文件(如`log4j2.xml`或`log4j2.json`)或依赖管理工具(如Maven或Gradle)的配置,确定当前使用的Log4j2版本。 3. **漏洞评估**:对比已知受影响的版本列表,如CVE-2021-...
解决日志log4j,slf4j,logback冲突问题
灵豸
10-21 6053
问题描述: 启动tomcat,发现tomcat无法启动,catalina.out有如下错误日志: INFO [localhost-startStop-1] org.apache.catalina.core.ApplicationContext.log Closing Spring root WebApplicationContext SEVERE [localhost-startStop...
java-log4j日志冲突解决
xianmingsu的博客
01-19 1005
java日志框架较多,其中主流的slf4j和commons-logging是日志接口,log4jlog4j2和logback是真正的日志实现库。
MavenExclude log4j.properties in Jar file Posted on October 19, 2014 By mkyong This example sho
nobody
12-01 1637
MavenExclude log4j.properties in Jar file Posted on October 19, 2014 By mkyong This example shows you how to use Maven to exclude the log4j.properties fil
log4j maven及配置文件
weixin_43476824的博客
04-02 759
配置文件名:log4j2.xml。
log4j maven
最新发布
06-06
Log4jJava中一款广泛使用的日志记录框架,它提供了丰富的配置选项和灵活的日志输出能力。在Maven项目中,你可以通过依赖管理来集成Log4j,以便在项目中方便地使用其功能。 1. 引入Log4j依赖:在你的`pom.xml`文件中,添加Log4j的基本依赖,例如: ```xml <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.x.y</version> <!-- 请替换为实际版本号 --> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.x.y</version> <!-- 请替换为实际版本号 --> </dependency> ``` 这里,`log4j-api`提供接口定义,`log4j-core`提供实际的日志处理功能。 2. 配置log4j:通常情况下,你需要在项目中创建一个名为`log4j2.xml`或`log4j2.properties`的配置文件,来设置日志的级别、输出格式、输出目的地等。这是一个简单的XML配置示例: ```xml <Configuration status="WARN"> <Appenders> <Console name="Console" target="SYSTEM_OUT"> <PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/> </Console> </Appenders> <Loggers> <Root level="info"> <AppenderRef ref="Console"/> </Root> </Loggers> </Configuration> ``` 3. 使用日志:在代码中,你可以通过`org.apache.logging.log4j.Logger`接口获取一个logger实例,然后进行日志记录,例如: ```java import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class MyClass { private static final Logger logger = LogManager.getLogger(MyClass.class); public void myMethod() { logger.info("This is an info message"); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值