Apache Log4j 2升级到2.16.0最新版本的解决方案

已于 2023-07-08 17:13:01 修改
阅读量1.6w 收藏 10
点赞数 5
文章标签: apache java 安全 log4j
于 2021-12-18 00:54:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56310628/article/details/122006987
版权

1.漏洞描述

Apache Log4j2 是一款优秀的 Java 日志框架。阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如:

  • Apache Struts2
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • Apache Flume
  • Apache Dubbo
  • Apache Kafka
  • Spring-boot-starter-log4j2
  • List item
  • ElasticSearch
  • Redis
  • Logstash
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/428bead3dca447a78e2510bda2196bff.png#pic_center

2.下面是升级log4J版本的思路和步骤

![在这里插入图片描述](https://img-blog.csdnimg.cn/c74417ccd21a46949daafff4e5a36c51.jpg#pic_center
因为新版本2.16.0的log4j2日志性能更好和安全性更高,所以我们采用新版本的日志打印来提高系统安全和性能,那么如何替换新版本的日志打印,下面是步骤:
步骤1:

修改log4j版本的依赖。
![在这里插入图片描述](https://img-blog.csdnimg.cn/8f741893c23b44e1bf7ed64d48bce43b.png#pic_center

<log4j.version>2.16.0</log4j.version>

pom中添加依赖:

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>${log4j.version}</version>
</depenency>

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>${log4j.version}</version>
</dependency>

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-web</artifactId>
    <version>${log4j.version}</version>
</dependency>

<dependency> <!-- 桥接:告诉Slf4j使用Log4j2 -->
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-slf4j-impl</artifactId>
    <version>${log4j.version}</version>
</dependency>

<dependency> <!-- 桥接:告诉commons logging使用Log4j2 -->
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-jcl</artifactId>
    <version>${log4j.version}</version>
</dependency>

为了方便后期升级可能替换为其他框架,所以我们采用slf4j框架的api来输入日志。所以需要添加对应的桥接依赖。

步骤2:
删除掉原有的log4j版本和logback日志依赖,如果系统中有的话。将系统中的API调用全部修改为根据slf4j的api来调用。


import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

private Logger logger = LoggerFactory.getLogger(Controller.class);

步骤3:
添加log4j2需要的配置文件,log4j2.xml,而且log4j2版本的日志不再支持properties的配置。

<?xml version="1.0" encoding="UTF-8"?> 
<properties>

    <!-- 本地测试日志写路径-->

    <property name="LOG_HOME">/data/home/logs/***</property>

    <property name="FILE_NAME">XXXName</property>

</properties>

 <!--日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL -->

<Appenders>

    <Console name="Console" target="SYSTEM_OUT">

        <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss} |-%-5level %logger{80} - %msg%n" />

        <ThresholdFilter level="debug" onMatch="ACCEPT" onMismatch="DENY"/>

    </Console>

    <RollingFile name="info-rolling" fileName="${LOG_HOME}/${FILE_NAME}.log"

                 filePattern="${LOG_HOME}/${LOG_FILENAME}.%d{yyyy-MM-dd}.log"

                 immediateFlush="false">

        <PatternLayout

                pattern="%d{yyyy-MM-dd HH:mm:ss} |-%-5level %logger{80} - %msg%n"/>

        <Policies>

            <TimeBasedTriggeringPolicy interval="24" modulate="true"/>

        </Policies>

        <Filters>

            <ThresholdFilter level="info" onMatch="ACCEPT"

                             onMismatch="DENY" />
        </Filters>

        <DefaultRolloverStrategy max="15" />

    </RollingFile>

    <RollingFile name="error-rolling" fileName="${LOG_HOME}/${FILE_NAME}.err"

                 filePattern="${LOG_HOME}/${LOG_FILENAME}-%d{yyyy-MM-dd}.err"

                 immediateFlush="false">

        <PatternLayout

                pattern="%d{yyyy-MM-dd HH:mm:ss} |-%-5level %logger{80} - %msg%n"/>

        <Policies>

            <TimeBasedTriggeringPolicy interval="24" modulate="true"/>

        </Policies>

        <Filters>

            <ThresholdFilter level="warn" onMatch="ACCEPT"

                             onMismatch="DENY" />

        </Filters>

        <DefaultRolloverStrategy max="15" />

    </RollingFile>

</Appenders>

<Loggers>

    <!-- <Logger name="com.cssweb.test.app" level="trace" additivity="true">

        <AppenderRef ref="running-log" /> </Logger> -->

    <logger name="org.springframework" level="INFO"></logger>

    <logger name="org.mybatis" level="INFO"></logger>

    <Root level="all">

        <!-- 这里是输入到控制台-->

        <AppenderRef ref="Console" />

        <!-- 这里是输入到文件,很重要-->

        <AppenderRef ref="info-rolling" />



        <AppenderRef ref="error-rolling" />

    </Root>

</Loggers>

步骤4:

   前面三步完成的话,其实可以启动试试,但是通常情况下不会成功,
   因为项目里面还有其他的组件依赖有使用到低版本的日志依赖。会导致我们新版本的日志不起作用

在这里插入图片描述

步骤5:
去掉低版本的日志依赖
打开maven工具栏,选中其中需要编译的项目,然后点击show Dependencies然后可以看到整体依赖图哦!
在这里插入图片描述
再点击Exclude去掉低版本依赖哦!
在这里插入图片描述

这里需要一个个去掉低版本的日志依懒即可!
完结…亲测有用,看到这里麻烦点个赞哦!-------------------------------------------------------------------------------------------------

王 路
关注
Log4j2 再爆雷,Log4j v2.17.0 横空出世
superjava_的博客
12-21 1166
Log4j2 再爆雷 Log4j2 这是没完没了了,栈长以为 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了: 前两天栈长还说 Log4j 2.16.0 是最安全的版本,没想到这么快就又打脸了,Log4j 2.17.0 横空出世。。。 又来了。。Log4j2 这是中了新冠的毒? 这次又爆出来新的 DOS 拒绝服务攻击漏洞。。 如果你想关注和学习最新、最主流的 Java 技术,可以持续关注Java技术栈,第一时间推送。 安全漏洞:CVE-2021-45105
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 1万+
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
Springboot高版本和druid兼容问题
最新发布
ImNotNpe的博客
03-25 408
当我用这套配置启项目的时候,会报配置文件中url属性不存在的错,也就是配置文件所在的目录没有引入druid的依赖,但是我查看过后发现依赖确实是引入了。经过我多次调整后,发现应该是依赖冲突的原因,很可能是3.4.4版本的springboot和当前druid的版本冲突(但是我目前也不肯定一定是这个问题)如果只将JDK版本调整而Springboot版本不变的,也会报ASM的错,所以这两个都得调整。到底是什么原因我目前还发现,有懂的同学可以留言评论一下,相互学习一下~当我把整个项目的配置调整后,项目就顺利启动了。
又被漏洞追着跑?log4j2升级2.23.1 操作流程
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
06-15 1243
Java 用第三方开源包,免不了被漏洞追着跑,几乎每年都要对最新爆出的漏洞组件进行升级,今年要升级的是 log4j2 和 nacos,升级最新版本。额外补充一下我在将某项目从 log4j 升级log4j2 的过程中碰到的一个小问题,log4j.properties 中引用环境变量的方法是。门面包版本包不匹配时,日志直接被忽略了,别问我怎么知道的,这是我画蛇添足把这个包升级2.0.5 后得出的教训。,但是对于 log4j2.xml 配置文件中,这个方式不生效了,而是用 ${sys:系统变量}
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变
Tom弹架构
12-20 2024
1 事件背景 经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。 相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。
日志框架log4j升级log4j2
weixin_43369198的博客
06-23 1970
在传统的日志系统中,日志的记录往往是同步进行的,这意味着每当应用程序记录一条日志时,都会直接写入到磁盘或者发送至远程日志服务器上,这个过程可能会因为磁盘I/O或网络延迟而变得相对较慢,在高并发的场景下,这类延迟可能会对应用程序的性能产生明显的影响。目前很多日志框架都已经集成了异步记录日志的功能,例如Logback自带异步日志,而本文将侧重介绍Log4j2日志框架使用Disruptor来完成异步日志的支持,使得Log4j2能够在多线程应用程序中提供更快的日志写入性能,尽可能减少对应用程序性能的影响。
Apache Log4j2团队宣布Log4j 2.16.0发布,强烈建议升级
码农小胖哥
12-14 4551
log4j 2.16.0发布,强烈建议升级
apache-log4j-2.16.0-bin.tar.gz
12-14
Apache Log4j 是一个广泛...总之,Apache Log4j 2.16.0Java日志记录领域的重要工具,提供了高效、灵活和安全的日志解决方案。对于开发人员来说,理解其特性和使用方法对于提升应用程序的可维护性和安全性至关重要。
log4j2版本漏洞 修复版本2.16.0
12-17
升级Log4j2 2.16.0是防止Log4Shell攻击的最直接方式。对于那些无法立即升级的应用,可以采取临时措施,如配置系统环境变量`LOG4J2_DISABLE_JNDI`或修改Log4j2配置文件以禁止JNDI查找。但请注意,这些临时解决方案...
log4j2 2021最新版本.rar
12-14
标题"Log4j2 2021最新版本.rar"指的是Apache Log4j2框架的2021年发布的最新版本,通常这种更新可能包含安全修复、性能优化或新功能。描述中提到的"log4j2最新2.16.jar包"是指Log4j2框架的2.16版本的JAR文件,它是...
日志版本-log4j2版本jar
03-07
log4j升级版本,包含日志配置文件,要注意的是部分jar包的日志默认是log4j,需要在tomcat、jdk等其他中间件设置默认日志
新版本与旧版本log4j.jar包下载,附使用说明----.zip
09-14
综上所述,这个压缩包提供了一整套关于Log4j解决方案,包括不同版本的jar包、使用说明和完整的二进制包,对于使用Log4j进行日志管理的Java开发者来说是非常有价值的资源。通过理解Log4j的工作原理和配置方法,...
升级Apache到最新版
热门推荐
老尹的笔记
03-25 2万+
升级Apache最新版本,本来并不复杂,但是因为涉及到不能停止现有的Apache实例的运行,因此要小心翼翼的做。 大致分成三步: 编译新的Apache, 配置新的Apache, 替换旧的Apache。 下面慢慢道来: 1.编译新的Apache, 需要到官网下载最新的src,需要什么依赖包,请参照下载的源码包里面的README和INSTALL。 如果需要安装apr包,请到官网下
Log4j漏洞补救 Log4j2 + SLF4j 升级最新版本
zhaofuqiangmycomm的博客
01-26 1万+
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云 2019-01-15阅读2.3K0 目录 一:前言 二:添加依赖 2.1:去除直接和间接依赖的log4j1和SLF4j 2.2:添加依赖 三:xml配置 3.1:log4j2.xml常用demo 3.2:demo的优点 3.3:内容详解 3.4:demo变形 3.4.1:同步打印日志 3.4.2:全部异步打印日志 3.4.3:混合模式打印日志 四:其他 4.1:Log日.
log4j2漏洞升级
magic_kid_2010的专栏
12-17 7369
一、影响范围: Apache Log4j 2.x <= 2.15.0-rc1 二、可能受影响的应用不限于以下内容: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka Apache Storm 三、解决办法: 1、等待官方升级 log4j2 版本。 2、自己升级 log
Apache Log4j2 又出现漏洞,发现者建议尽快升级2.16.0
AI研习社
12-18 239
最近的 Log4j2 漏洞想必大家都知道了,11月9日晚开源项目 Apache Log4j 2 的一个远程代码执行漏洞的利用细节被公开,随着 Apache Log4j 2.15.0 正式版...
最新:Log4j 2.x 再发版,正式解决核弹级漏洞,又要熬夜了。。。
Java技术栈,分享最主流的Java技术
12-12 830
背景 这几天为了应对《突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!》,Log4j2 连续发布了两个 RC(Release Candidate)候选版本。 在第一次的 RC1 候选版本中,Log4j2 还存在漏洞绕过风险,官方随后又发布了 RC2,现在终于彻底解决了,2.15.0 版本转正,正式发布: 有没有被折腾过两次的? Log4j 2.15.0 正式版来了,可真正用于生产环境,所以,现在你可能还要再折腾一次。。。 解决漏洞:CVE-2021-44228 漏洞原因: Log4j2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值