Apache Log4j 2升级到2.16.0最新版本的解决方案

已于 2023-07-08 17:13:01 修改
阅读量1.3w 收藏 9
点赞数 4
文章标签: apache java 安全 log4j
于 2021-12-18 00:54:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56310628/article/details/122006987
版权

1.漏洞描述

Apache Log4j2 是一款优秀的 Java 日志框架。阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如:

  • Apache Struts2
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • Apache Flume
  • Apache Dubbo
  • Apache Kafka
  • Spring-boot-starter-log4j2
  • List item
  • ElasticSearch
  • Redis
  • Logstash
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/428bead3dca447a78e2510bda2196bff.png#pic_center

2.下面是升级log4J版本的思路和步骤

![在这里插入图片描述](https://img-blog.csdnimg.cn/c74417ccd21a46949daafff4e5a36c51.jpg#pic_center
因为新版本2.16.0的log4j2日志性能更好和安全性更高,所以我们采用新版本的日志打印来提高系统安全和性能,那么如何替换新版本的日志打印,下面是步骤:
步骤1:

修改log4j版本的依赖。
![在这里插入图片描述](https://img-blog.csdnimg.cn/8f741893c23b44e1bf7ed64d48bce43b.png#pic_center

<log4j.version>2.16.0</log4j.version>

pom中添加依赖:

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>${log4j.version}</version>
</depenency>

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>${log4j.version}</version>
</dependency>

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-web</artifactId>
    <version>${log4j.version}</version>
</dependency>

<dependency> <!-- 桥接:告诉Slf4j使用Log4j2 -->
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-slf4j-impl</artifactId>
    <version>${log4j.version}</version>
</dependency>

<dependency> <!-- 桥接:告诉commons logging使用Log4j2 -->
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-jcl</artifactId>
    <version>${log4j.version}</version>
</dependency>

为了方便后期升级可能替换为其他框架,所以我们采用slf4j框架的api来输入日志。所以需要添加对应的桥接依赖。

步骤2:
删除掉原有的log4j版本和logback日志依赖,如果系统中有的话。将系统中的API调用全部修改为根据slf4j的api来调用。


import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

private Logger logger = LoggerFactory.getLogger(Controller.class);

步骤3:
添加log4j2需要的配置文件,log4j2.xml,而且log4j2版本的日志不再支持properties的配置。

<?xml version="1.0" encoding="UTF-8"?> 
<properties>

    <!-- 本地测试日志写路径-->

    <property name="LOG_HOME">/data/home/logs/***</property>

    <property name="FILE_NAME">XXXName</property>

</properties>

 <!--日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL -->

<Appenders>

    <Console name="Console" target="SYSTEM_OUT">

        <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss} |-%-5level %logger{80} - %msg%n" />

        <ThresholdFilter level="debug" onMatch="ACCEPT" onMismatch="DENY"/>

    </Console>

    <RollingFile name="info-rolling" fileName="${LOG_HOME}/${FILE_NAME}.log"

                 filePattern="${LOG_HOME}/${LOG_FILENAME}.%d{yyyy-MM-dd}.log"

                 immediateFlush="false">

        <PatternLayout

                pattern="%d{yyyy-MM-dd HH:mm:ss} |-%-5level %logger{80} - %msg%n"/>

        <Policies>

            <TimeBasedTriggeringPolicy interval="24" modulate="true"/>

        </Policies>

        <Filters>

            <ThresholdFilter level="info" onMatch="ACCEPT"

                             onMismatch="DENY" />
        </Filters>

        <DefaultRolloverStrategy max="15" />

    </RollingFile>

    <RollingFile name="error-rolling" fileName="${LOG_HOME}/${FILE_NAME}.err"

                 filePattern="${LOG_HOME}/${LOG_FILENAME}-%d{yyyy-MM-dd}.err"

                 immediateFlush="false">

        <PatternLayout

                pattern="%d{yyyy-MM-dd HH:mm:ss} |-%-5level %logger{80} - %msg%n"/>

        <Policies>

            <TimeBasedTriggeringPolicy interval="24" modulate="true"/>

        </Policies>

        <Filters>

            <ThresholdFilter level="warn" onMatch="ACCEPT"

                             onMismatch="DENY" />

        </Filters>

        <DefaultRolloverStrategy max="15" />

    </RollingFile>

</Appenders>

<Loggers>

    <!-- <Logger name="com.cssweb.test.app" level="trace" additivity="true">

        <AppenderRef ref="running-log" /> </Logger> -->

    <logger name="org.springframework" level="INFO"></logger>

    <logger name="org.mybatis" level="INFO"></logger>

    <Root level="all">

        <!-- 这里是输入到控制台-->

        <AppenderRef ref="Console" />

        <!-- 这里是输入到文件,很重要-->

        <AppenderRef ref="info-rolling" />



        <AppenderRef ref="error-rolling" />

    </Root>

</Loggers>

步骤4:

   前面三步完成的话,其实可以启动试试,但是通常情况下不会成功,
   因为项目里面还有其他的组件依赖有使用到低版本的日志依赖。会导致我们新版本的日志不起作用

在这里插入图片描述

步骤5:
去掉低版本的日志依赖
打开maven工具栏,选中其中需要编译的项目,然后点击show Dependencies然后可以看到整体依赖图哦!
在这里插入图片描述
再点击Exclude去掉低版本依赖哦!
在这里插入图片描述

这里需要一个个去掉低版本的日志依懒即可!
完结…亲测有用,看到这里麻烦点个赞哦!-------------------------------------------------------------------------------------------------

王 路
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
日志版本-log4j2版本jar
03-07
log4j升级版本,包含日志配置文件,要注意的是部分jar包的日志默认是log4j,需要在tomcat、jdk等其他中间件设置默认日志
apache-log4j-2.17.0 核心jar包
03-31
Log4j 是一个日志记录框架,Log4j 2 是对 Log4j升级,提供了重大改进,超越其前身 Log4j 1.x,并提供许多其它现代功能 ,例如对标记的支持、使用查找的属性替换、lambda 表达式与日志记录时无垃圾等。 Apache Log4j 2.16.0/2.12.2 现已可用。但Apache软体基金会又释出了Log4j 2.17.0版来修补新的阻断服务(Denial of Service,DoS)漏洞。Log4j 团队已获悉一个安全漏洞 CVE-2021-45105,该漏洞已在 Java 8 及更高版本的 Log4j 2.17.0 中得到解决。
Log4j漏洞补救 Log4j2 + SLF4j 升级到最新版本
zhaofuqiangmycomm的博客
01-26 1万+
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云 2019-01-15阅读2.3K0 目录 一:前言 二:添加依赖 2.1:去除直接和间接依赖的log4j1和SLF4j 2.2:添加依赖 三:xml配置 3.1:log4j2.xml常用demo 3.2:demo的优点 3.3:内容详解 3.4:demo变形 3.4.1:同步打印日志 3.4.2:全部异步打印日志 3.4.3:混合模式打印日志 四:其他 4.1:Log日.
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 9844
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
log4j版本升级
最新发布
qq_41525524的博客
07-21 429
【代码】log4j版本升级
最新版log4j.jar
03-20
最新版log4j.jar下载还有log4j的官网下载地址,最新版log4j.jar
Log4j2 再爆雷,Log4j v2.17.0 横空出世
superjava_的博客
12-21 1032
Log4j2 再爆雷 Log4j2 这是没完没了了,栈长以为 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了: 前两天栈长还说 Log4j 2.16.0 是最安全的版本,没想到这么快就又打脸了,Log4j 2.17.0 横空出世。。。 又来了。。Log4j2 这是中了新冠的毒? 这次又爆出来新的 DOS 拒绝服务攻击漏洞。。 如果你想关注和学习最新、最主流的 Java 技术,可以持续关注Java技术栈,第一时间推送。 安全漏洞:CVE-2021-45105
apache-log4j-2.16.0-bin.rar
12-17
开源日志框架Apache Log4j2远程代码执行漏洞升级
修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar
12-16
apache下载太慢,特搬到国内下载。修复log4j漏洞log4j2下载最新log4j2.16.0下载
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
apache-log4j-2.16.0-bin.zip
log4j各个版本
03-16
Log4j的jar 有1.2.6 1.2.8 1.2.12 1.2.15
log4j-API-最新稳定版本log4j-1.2.17
08-11
log4j-API-最新稳定版本log4j-1.2.17 apache log4j-API-最新稳定版本log4j-1.2.17
log4j.jar各个版本
08-04
apache-log4j-1.2.15.jar, apache-log4j-extras-1.0.jar, apache-log4j-extras-1.1.jar, apache-log4j.jar, log4j-1.2-api-2.0.2-javadoc.jar, log4j-1.2-api-2.0.2-sources.jar, log4j-1.2-api-2.0.2.jar, log4j-1.2.11.jar, log4j-1.2.12.jar, log4j-1.2.13-sources.jar, log4j-1.2.13.jar, log4j-1.2.13.src.jar, log4j-1.2.14-sources.jar, log4j-1.2.14.jar, log4j-1.2.15-sources.jar, log4j-1.2.15.jar, log4j-1.2.16-sources.jar, log4j-1.2.16.jar, log4j-1.2.5.jar, log4j-1.2.6.jar, log4j-1.2.7.jar, log4j-1.2.8.jar, log4j-1.2.9.jar, log4j-1.2.91.jar, log4j-1.2.jar, log4j-1.2rc1.jar, log4j-1.3alpha-7.jar, log4j-api-2.0.2-javadoc.jar, log4j-api-2.0.2-sources.jar, log4j-api-2.0.2.jar, log4j-boot.jar, log4j-bridge-0.9-sources.jar, log4j-bridge-0.9-tests.jar, log4j-bridge-0.9.4-sources.jar, log4j-bridge-0.9.4-tests.jar, log4j-bridge-0.9.4.jar, log4j-bridge-0.9.6-sources.jar, log4j-bridge-0.9.6-tests.jar, log4j-bridge-0.9.6.jar, log4j-bridge-0.9.jar, log4j-config.jar, log4j-core-2.0.2-javadoc.jar, log4j-core-2.0.2-sources.jar, log4j-core-2.0.2-tests.jar, log4j-core-2.0.2.jar, log4j-core.jar, log4j-ext.jar, log4j-flume-ng-2.0.2-javadoc.jar, log4j-flume-ng-2.0.2-sources.jar, log4j-flume-ng-2.0.2.jar, log4j-java1.1.jar, log4j-jcl-2.0.2-javadoc.jar, log4j-jcl-2.0.2-sources.jar, log4j-jcl-2.0.2.jar, log4j-jmx-gui-2.0.2-javadoc.jar, log4j-jmx-gui-2.0.2-sources.jar, log4j-jmx-gui-2.0.2.jar, log4j-nosql-2.0.2-javadoc.jar, log4j-nosql-2.0.2-sources.jar, log4j-nosql-2.0.2.jar, log4j-over-slf4j-1.5.0.jar, log4j-over-slf4j-1.5.10.jar, log4j-over-slf4j-1.5.3.jar, log4j-over-slf4j-1.5.5.jar, log4j-over-slf4j-1.5.6-sources.jar, log4j-over-slf4j-1.5.6.jar, log4j-over-slf4j-1.5.8-sources.jar, log4j-over-slf4j-1.5.8.jar, log4j-over-slf4j-1.6.1.jar, log4j-slf4j-impl-2.0.2-javadoc.jar, log4j-slf4j-impl-2.0.2-sources.jar, log4j-slf4j-impl-2.0.2.jar, log4j-snmp-appender.jar, log4j-taglib-2.0.2-javadoc.jar, log4j-taglib-2.0.2-sources.jar, log4j-taglib-2.0.2.jar, log4j-to-slf4j-2.0.2-javadoc.jar, log4j-to-slf4j-2.0.2-sources.jar, log4j-to-slf4j-2.0.2.jar, log4j-web-2.0.2-javadoc.jar, log4j-web-2.0.2-sources.jar, log4j-web-2.0.2.jar, log4j-wjw.jar, log4j-xml-1.3alpha-7.jar, log4j.jar, org.apache.log4j_1.2.15.v201005080500.jar, org.apache.log4j_1.2.15.v201012070815.jar
log4j各版本jar包
02-01
log4j-1.2.12,log4j-1.2.13,log4j-1.2.14,log4j-1.2.15,log4j-1.2.16,log4j-1.2.17
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
log4j从1.x平滑升级至2.x
weixin_43872895的博客
12-17 4907
log4j从1.x平滑升级至2.x
Log4J的简单实用
cxy_0330的博客
03-27 483
一、依赖 <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId&gt...
Apache Log4j漏洞解决,log4j版本升级2.15.0
热门推荐
Java码农杂谈
12-17 1万+
文章目录前言一、查看当前log4j版本二、升级log4j版本 前言    log4j发生了巨大漏洞,可以在远程直接在服务器上执行多种操作,被戏称log4shell,众多公司面临解决log4j漏洞问题,本文主要介绍log4j升级版本相关 一、查看当前log4j版本 首先需要确认下当前项目是否引入了log4j?引入的log4j版本是多少?有些项目可能没有直接引入,但引入的其他组件中使用了log4j,所以需要仔细排查一下! 这里,我们可以使用IDEA编译器带的maven s.
java项目的log4j的1.2.17版本如何升级2.16.0,需要怎么修改配置
03-21
文件? 要升级log4j版本,需要进行以下步骤: 1. 下载log4j 2.16.0版本的jar包,并将其添加到项目的classpath中。 2. 修改项目中的log4j配置文件,将原来的1.2.17版本的配置改为2.16.0版本的配置。具体修改方式可以参考log4j官方文档。 3. 在项目中使用新版本log4j API,替换掉原来使用的旧版本API。 需要注意的是,升级log4j版本可能会导致一些API的变化,需要根据具体情况进行修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值