log4j2漏洞升级遇到的坑

最新推荐文章于 2024-04-05 04:15:19 发布
最新推荐文章于 2024-04-05 04:15:19 发布
阅读量1.5k 收藏
点赞数
分类专栏: 问题 文章标签: 服务器 java maven log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyouwd1/article/details/122209931
版权

项目场景:

最近爆发的log4j2的漏洞,导致各种老旧项目的log4j2版本需要升级到2.17.0

问题描述:

使用IDEA的Maven Helper插件,将log4j2的2.X版本全部屏蔽掉,然后引入2.17.0版本,结果报错显示如下信息 
org/slf4j/impl/StaticLoggerBinder : Unsupported major.minor version 52.0

原因分析:

看见 version 52.0 的信息,第一反应是JDK版本不对,结果去改了pom.xml的maven编译版本1.7->1.8,然后还是不行。 然后想到是云服务器的版本可能不是JDK8,也去看了,结果都是JDK8。 最后排查到,由于是很老的服务器,导致JDK版本必须去服务器上看版本,并且手动升级配置到JDK8。因为现在公司用的都是容器化配置,看JDK版本直接在云服务器的页面看就可以,结果血淋淋的教训,以后最好是登录服务器使用linux命令查看下为好。

解决方案:

  1. log4j2的1.X版本不需要屏蔽
  2. 去服务器查看版本,如果不是JDK8,升级到JDK8即可,log4j2的2.17.0版本指定最低JDK为8

方案参考: 解决错误: Failed to load class “org.slf4j.impl.StaticLoggerBinder“

熊崽_张
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2.17.2
04-14
log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级log4j 全套jar包 用于修复漏洞和替换升级
log4j2漏洞检测工具
05-07
1、检测项目中是否存在log4j漏洞 2、工作使用
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
最新发布
F1814397的博客
04-05 245
其他的内容都可以按照路线图里面整理出来的知识点逐一去熟悉,学习,消化,不建议你去看书学习,最好是多看一些视频,把不懂地方反复看,学习了一节视频内容第二天一定要去复习,并总结成思维导图,形成树状知识网络结构,方便日后复习。这里还有一份很不错的《Java基础核心总结笔记》,特意跟大家分享出来目录:部分内容截图:《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取![外链图片转存中…(img-jpLpcehl-1712261706341)]
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
LOG4J RCE 漏洞分享与自查.pdf
12-15
LOG4J RCE 漏洞分享与自查
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
log4j2学习
kevin_琪琪的博客
06-10 571
众所周知,最近log4j被测出了漏洞,先是log4j2被测出了漏洞漏洞影响范围为Log4j2.x
Log4j2的使用
一明
04-27 223
官网:https://logging.apache.org/log4j/2.x/ 1.在pom.xml里面添加依赖项 <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> &...
Log4j又发新版2.17.0,只有彻底搞懂RCE漏洞原因,以不变应万变,小bai也能看懂
Java大将军的博客
12-20 1496
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0版本之后没有过多久,又发声明说 2.15.0版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。
log4j2的使用
爪哇人的博客
01-16 2431
1 前言 Apache Log4j2是对Log4j升级版,参考了logback的一些优秀设计,并且修复了一些问题,因此带来了一些重大的提升 1 异常处理:在logback中,Appender中的异常不会被应用感知到,但是在log4j2中,提供了一些异常处理机制 2 性能提升:log4j2相较于log4j和logback都具有很明显的提升性能 3 自动重载配置:参考了logback的设计,当然会提供自动刷新参数配置,最实用的就是我们可以在生产上可以动态的修改日志的级别而不需要重启应用 4 无垃圾机
Log4j2 升级2.17.1踩过的
Harry的博客
02-08 6755
目录 1. 如果你用的是spring boot2.x 怎么升级方便 2.Caused by: java.lang.NoSuchMethodError: com.lmax.disruptor.dsl.Disruptor 3. Log4j2 error-ERROR StatusLogger Unrecognized format specifier 版本 Library Current Upgraded Lo4j2 related jar * 2.17.1 ..
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
2021年12月9日的log4j2组件远程代码执行漏洞影响解决方法
爱的叹息的专栏
02-10 1156
举例 受2021年12月9日的log4j2组件远程代码执行漏洞影响,需要替换旧版log4j2的jar包修复漏洞 1、解压安装包后,找到 \WEB-INF\lib\ 目录,将里面的以下文件删除 log4j-api-2.11.0.jar log4j-core-2.11.0.jar log4j-jcl-2.11.0.jar log4j-web-2.11.0.jar 2、到maven仓库下载新的log4j2组件放到 \WEB-INF\lib\ 目录https://repo1.maven.org/maven2/o
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4292
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
阿里云被工信部暂停合作,惹事的Log4j2漏洞该如何解决?
u010630703的博客
12-23 492
近日,一众开发和维护人员正马不停蹄地开始修补 Log4j2 漏洞,但要真正修复完毕,还有很多工作要做。 最近几天,各家互联网大厂的程序员朋友们,都快被 Log4j2 漏洞折磨疯了,纷纷启动自家软件的漏洞修复。今天早上,阿里云被爆出作为工信部网络安全威胁信息共享合作平台,阿里云在发现该漏洞时并未及时向工信部汇报,所以被暂停合作 6 个月。在暂停期满后,根据阿里云的实际整改情况研究是否恢复合作。该漏洞最早被爆出是在 12 月 10 日凌晨。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执
带你深入Java Log框架,彻底搞懂Log4JLog4J2、LogBack,SLF4J
BASK2311的博客
03-21 1144
Log4J2是Apache开发的一个新的日志框架,改进了很多Log4J的缺点,同时也借鉴了LogBack,号称在性能上也是完胜LogBack。注意:类似的日志门面还有Jakarta Common logging(JCL),主要区别在于,SLF4J是一个比较新的日志框架,它更加灵活,性能更好,支持更多的日志实现,而且JCL基于classLoader在运行时动态加载日志框架,可能会产生很多意想不到的安全问题,关于这个问题可以参考讨论。其实这个两个框架的作者都是一个人,Ceki Gülcü,俄罗斯程序员。
Log4j 2 API 官方文档详解
demo_yo的博客
03-20 3774
Log4j 2 API Log4j 2 API:https://logging.apache.org/log4j/2.x/manual/api.html Apache Log4j API 2.17.2 API:https://logging.apache.org/log4j/2.x/log4j-api/apidocs/overview-summary.html 概述 Log4j 2 API提供了应用程序应该编码到的接口,并提供了实现者创建日志实现所需的适配器组件。 虽然Log4j 2在API和实现之间进行了
log4j2.pom
哎呀呀的博客
08-10 3331
javax.mail mail 1.4 javax.activation activation 1.1.1 org.apache.logging.log4j log4j-api ${log4j.vers
强制指定log4j版本(打包后也没问题)
qiaodaima0的博客
03-18 1218
背景: log4j漏洞从去年升级了好几个版本,确实已经让大家很烦躁了,但还是得要处理下 动手: 一般来说多个服务依赖都会引用同一个公共依赖管理,来减少版本冲突,这样我们直接在公共依赖里面强制指定即可。 1、公共依赖POM设置: <properties> <log4j.version>2.17.2</log4j.version> <!--这个是指定一些依赖中的版本--> <log4j2.version>2.17.2</l
log4j2漏洞修复建议
05-25
log4j2漏洞是一个非常严重的安全问题,已经被广泛关注和报道。如果你使用log4j2作为应用程序的日志框架,以下是一些修复建议: 1. 更新log4j2版本:Apache已经发布了log4j2的安全补丁,建议升级至最新版本。如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值