SpringBoot项目修复Log4j2高危漏洞-升级log4j2版本至2.15.0

最新推荐文章于 2024-05-16 10:17:14 发布
最新推荐文章于 2024-05-16 10:17:14 发布
阅读量5.6k 收藏 4
点赞数 5
分类专栏: 其它 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why_adon/article/details/121904197
版权

在spring boot集成log4j2的项目中,升级log4j2版本至2.15.0有两种方法:

解决办法一:

屏蔽spring-boot-starter-log4j2的log-api和log-core包,单独引用log4j-api和log4j-core的2.15.0版本

<!-- log4j2 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<!-- log4j-core:2.15.0修复漏洞版本 -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.15.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.15.0</version>
</dependency>

解决办法二:

在SpringBoot项目pom.xml文件中,增加 <log42.version>2.15.0</log42.version>即可

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

ps:spring boot的父项目中有引用此log42.version变量,当前工程中设置此变量覆盖父项目即可调整log4j的版本

why_adon
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1341
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞,Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
Log4j2 再爆雷,Log4j v2
最新发布
afsdfrsg的博客
05-16 207
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4039
spring-boot-starter-log4j2漏洞修复方式
解决log4j2配置文件失效的问题
热门推荐
Parker的博客
07-19 1万+
今天运行项目的时候,查看控制台突然发现日志的输出格式变了,但最近又没动过log4j的配置文件,所以非常的困惑。 最后怀疑是加载了别的地方的配置文件或者因为某些原因使用了默认的配置属性。 后来在网上发现很多相类似的问题,其中大多数原因都是因为包冲突或包里含有额外的配置文件等造成的。 由此我也怀疑是最近新增加的activemq-all包而引发的问题。 于是在Tomcat的VM参数里添加-Dlo...
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 1636
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
Log4j2 CVE-2021-45046 鸡肋RCE漏洞复现与浅析
mole_exp的博客
12-21 4067
文章目录0x00 前言 0x00 前言 自从上上周四(12月9日晚)Log4Shell(CVE-2021-44228)漏洞被披露后引发了安全圈地震,笔者就立刻对该漏洞进行复现和分析,并持续跟踪这个漏洞后续的资讯动态。
logging-log4j2-log4j-2.15.0-rc2.zip maven 资源库
12-31
针对Log4j 2 远程代码执行漏洞,需要用到的升级资源包,适用于maven资源库,包括log4j,log4j-core,log4j-api,log4j-1.2-api,log4j-jpa等全套2.15.0 maven资源库jar包。如果是maven本地仓库使用,需要将zip包解压...
log4j-core-2.15.0.jar log4j-2.15.0-rc2
12-10
Apache log4j2零日漏洞,根据 log4j-2.15.0-rc2 版本编译生成log4j-api-2.15.0.jar 1.解压你的jar jar xvf XXX.jar 2. 删除旧版本jar cd ./BOOT-INF/lib rm -rf log4j-api-*.jar 3. 上传新版本log4j-api-2.15.0....
log4j-api-2.15.0.jar log4j-2.15.0-rc2
12-10
Apache log4j2零日漏洞,根据 log4j-2.15.0-rc2 版本编译生成log4j-api-2.15.0.jar 1.解压你的jar jar xvf XXX.jar 2. 删除旧版本jar cd ./BOOT-INF/lib rm -rf log4j-api-*.jar 3. 上传新版本log4j-api-...
log4j-api-2.15.0-rc2.jar
12-10
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)2.15.0-rc2版本(jar包名称仍为2.15.0,源码编译出来的)
logging-log4j2-log4j-2.15.0-rc2.zip
12-13
logging-log4j2-log4j-2.15.0-rc2.zip
log4j2.xml配置文件不生效
hey_wei_ran的博客
03-18 589
log4j2.xml配置文件不生效
在IDEA的java项目中使用log4j,配置文件log4j2-test.xml不生效
李闪闪
10-03 4388
1、log4j2-test.xml配置看官网:Log4j – Configuring Log4j 2https://logging.apache.org/log4j/2.x/manual/configuration.html 2、问题:控制台输出日志信息,修改level的的值不生效,仍是只能输出error以上级别的信息 <?xml version="1.0" encoding="UTF-8"?> <Configuration status="warn"> <Appen
Log4j2.xml不生效:WARN StatusLogger Multiple logging implementations found:
听香水榭
11-24 1385
处理log4j2.xml不生效问题
Vector关于Apache Log4Shell CVE-2021-45105,CVE-2021-45046,CVE-2021-44228 的安全漏洞配合与修复全面详解
Polelink北汇信息的博客
12-30 3243
Apache Log4j2 是一个基于 Java 的日志记录开源组件。近日,Log4j2 被爆出现安全漏洞,攻击者可以通过向易受攻击的服务器或应用程序发送操纵请求来利用安全漏洞。Vector 德国PREEvison产品团队已经通过官网和客户管理系统及时通知客户,有关PREEvision中使用的软件组件的严重安全漏洞Log4Shell”CVE-2021-44228,说明如下:
【Java】web.xml中配置log4j2相关信息,解决配置文件不生效问题
2024 做自己的太阳
03-14 5694
log4j升级log4j2的过程,因spring升级4.3.X后放弃了log4j1 maven依赖的相关包 <slf4j.version>1.7.21</slf4j.version> <log4j.version>2.7</log4j.version> <!--1--> <dependency> <grou...
log4j/log4j2配置不生效问题解决之道
街头看日出的博客
03-17 5181
当出现配置了log4j或log4j2的配置问题不生效,可以在java启动命令添加参数-Dlog4j.debug,可以看到实际加载配置文件的路径,非常好用
springboot 项目使用log4j2记录日志
05-30
使用 Log4j2 记录日志也很简单,步骤如下: 1. 在 pom.xml 文件中添加 log4j2 依赖: ``` <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-slf4j-impl</artifactId> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-web</artifactId> <version>2.13.3</version> </dependency> ``` 2. 在 src/main/resources 目录下创建 log4j2.xml 文件,配置日志输出格式和输出位置等信息。以下是一个简单的示例配置文件: ``` <?xml version="1.0" encoding="UTF-8"?> <Configuration> <Appenders> <Console name="Console" target="SYSTEM_OUT"> <PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n" /> </Console> <RollingFile name="RollingFile" fileName="logs/app.log" filePattern="logs/app-%d{yyyy-MM-dd}-%i.log.gz"> <PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n" /> <Policies> <TimeBasedTriggeringPolicy /> <SizeBasedTriggeringPolicy size="10MB" /> </Policies> <DefaultRolloverStrategy max="20" /> </RollingFile> </Appenders> <Loggers> <Root level="INFO"> <AppenderRef ref="Console" /> <AppenderRef ref="RollingFile" /> </Root> <Logger name="com.example" level="DEBUG" additivity="false"> <AppenderRef ref="RollingFile" /> </Logger> </Loggers> </Configuration> ``` 这个配置文件中定义了两个 appender,一个是 Console,表示将日志输出到控制台;另一个是 RollingFile,表示将日志输出到文件中。其中,filePattern 配置了日志文件的命名格式,Policies 中配置了两个触发策略,一个基于时间,一个基于文件大小。 3. 在代码中使用 LoggerFactory 获取 Logger 对象,然后即可进行日志记录。例如: ``` import org.slf4j.Logger; import org.slf4j.LoggerFactory; public class DemoController { private static final Logger logger = LoggerFactory.getLogger(DemoController.class); public void doSomething() { logger.debug("Debug log message"); logger.info("Info log message"); logger.warn("Warn log message"); logger.error("Error log message"); } } ``` 运行程序后,日志将会输出到控制台和指定的日志文件中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值