spring-boot日志框架漏洞修复

最新推荐文章于 2024-05-29 07:47:39 发布
最新推荐文章于 2024-05-29 07:47:39 发布
阅读量496 收藏
点赞数
分类专栏: Log架构和部署架构 文章标签: spring log4j java
原文链接:https://www.cnblogs.com/jockming/p/16257511.html
版权

版本问题
低于2.6.2的版本都存在log4j注入漏洞

方案一Log4j2
方案一Log4j2
排除spring-boot-starter中的默认logging依赖

org.springframework.boot spring-boot-starter org.springframework.boot spring-boot-starter-logging org.springframework.boot spring-boot-starter-log4j2 2.6.2

log4j2.xml:

<?xml version="1.0" encoding="UTF-8"?> third-api /home/migu/portal-third-api/logs 100 MB 
 <!-- 打印出所有的信息,每次大小超过size,则这size大小的日志会自动存入按年份-月份建立的文件夹下面并进行压缩,作为存档 -->
        <RollingFile name="infoLog" fileName="${logDir}/${App}-info.log"
                     filePattern="${logDir}/${App}-info-%d{yyyy-MM-dd}-%i.log.gz">
            <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS z} [%thread] %-5level %logger{36} %L %M - %msg%xEx%n"/>
            <Policies>
                <!--interval属性用来指定多久滚动一次,默认是1, 单位到底是月 天 小时 分钟,根据filePattern配置的日期格式而定,本处的格式为天,则默认为1-->
                <TimeBasedTriggeringPolicy interval="1" modulate="true"/>
                <!--按大小分-->
                <SizeBasedTriggeringPolicy size="${splitSize}"/>
            </Policies>
            <Filters>
                <!-- 只记录info和warn级别信息 -->
                <!--<ThresholdFilter level="error" onMatch="DENY" onMismatch="NEUTRAL"/>-->
                <ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/>
            </Filters>
            <!-- 指定每天的最大压缩包个数,默认7个,超过了会覆盖之前的 -->
            <DefaultRolloverStrategy max="1000"/>
        </RollingFile>


    <RollingFile name="errorLog" fileName="${logDir}/${App}-error.log"
                 filePattern="${logDir}/${App}-error-%d{yyyy-MM-dd}-%i.log.gz">
        <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS z} [%thread] %-5level %logger{36} %L %M - %msg%xEx%n"/>
        <Policies>
            <!--interval属性用来指定多久滚动一次,默认是1, 单位到底是月 天 小时 分钟,根据filePattern配置的日期格式而定,本处的格式为天,则默认为1天-->
            <TimeBasedTriggeringPolicy interval="1" modulate="true"/>
            <!--按大小分-->
            <SizeBasedTriggeringPolicy size="${splitSize}"/>
        </Policies>
        <Filters>
            <!-- 只记录error级别信息 -->
            <ThresholdFilter level="error" onMatch="ACCEPT" onMismatch="DENY"/>
        </Filters>
        <!-- 指定每天的最大压缩包个数,默认7个,超过了会覆盖之前的 -->
        <DefaultRolloverStrategy max="1000"/>
    </RollingFile>
<Loggers>
    <!-- root logger 配置,全局配置,默认所有的Logger都继承此配置 -->
    <!-- AsyncRoot - 异步记录日志 - 需要LMAX Disruptor的支持 -->
    <Root level="info">
        <AppenderRef ref="console"/>
    </Root>

    <!--第三方的软件日志级别 -->
    <logger name="org.springframework" level="info" additivity="true">
    </logger>
</Loggers>

logback-spring.xml

<?xml version="1.0" encoding="UTF-8"?> 
<contextName>logback</contextName>
<!-- 彩色日志依赖的渲染类 -->
<conversionRule conversionWord="clr" converterClass="org.springframework.boot.logging.logback.ColorConverter"/>
<conversionRule conversionWord="wex"
                converterClass="org.springframework.boot.logging.logback.WhitespaceThrowableProxyConverter"/>
<conversionRule conversionWord="wEx"
                converterClass="org.springframework.boot.logging.logback.ExtendedWhitespaceThrowableProxyConverter"/>
<!-- 彩色日志格式 -->
<property name="CONSOLE_LOG_PATTERN"
          value="%magenta(%d{yyyy-MM-dd HH:mm:ss}) %highlight(%-5level) %boldCyan(${springAppName:-}) %yellow(%thread) %green(%logger) %yellow(%M) %magenta(%L) %msg%n"/>
<property name="LOG_PATTERN" value="%d{yyyy-MM-dd HH:mm:ss} %-5level ${springAppName:-} %thread %logger %M %L %msg%n"/>

<!--输出到控制台-->
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
    <!--此日志appender是为开发使用,只配置最底级别,控制台输出的日志级别是大于或等于此级别的日志信息-->
    <filter class="ch.qos.logback.classic.filter.ThresholdFilter">
        <level>debug</level>
    </filter>
    <encoder>
        <pattern>${CONSOLE_LOG_PATTERN}</pattern>
        <charset>UTF-8</charset>
    </encoder>
</appender>

<springProfile name="uat">
    <!--指定某些模块的日志级别-->
    <logger name="com.code.generator" level="warn"/>
    <root level="warn">
        <appender-ref ref="CONSOLE"/>
    </root>
</springProfile>

<!--开发:打印控制台-->
<springProfile name="dev">
    <logger name="com.code.generator" level="debug"/>
    <root level="debug">
        <appender-ref ref="CONSOLE"/>
    </root>
</springProfile>

<!--生产环境:输出到文件-->
<springProfile name="prd">
    <logger name="com.code.generator" level="error"/>
    <root level="error">
        <appender-ref ref="CONSOLE"/>
    </root>
</springProfile>

方案二:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
    </exclusions>
</dependency>
org.springframework.boot spring-boot-starter-log4j2 org.apache.logging.log4j log4j-core org.apache.logging.log4j log4j-api org.apache.logging.log4j log4j-slf4j-impl org.apache.logging.log4j log4j-to-slf4j org.apache.logging.log4j log4j-jul org.springframework.boot spring-boot-starter-log4j2 org.apache.logging.log4j log4j-core org.apache.logging.log4j log4j-api org.apache.logging.log4j log4j-slf4j-impl org.apache.logging.log4j log4j-to-slf4j org.apache.logging.log4j log4j-jul

推荐阅读:
https://www.cnblogs.com/jockming/p/16257511.html

执于代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-boot-2.6.15.zip
04-21
此外,Spring Boot通常会修复安全漏洞,因此升级到最新版本对于保持应用程序的安全性至关重要。新的功能和API可能被添加,以支持更灵活的集成和开发流程,比如更好的日志管理和微服务通信。 在Spring Boot 2.x系列...
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
热门推荐
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升级springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
CWE-117日志伪造漏洞
weixin_44689968的博客
04-14 1964
CWE-117日志伪造漏洞 1.日志伪造 当日志条目包含未经过授权的用户输入时,会造成日志伪造。攻击者可以通过向应用程序提供包含特殊字符的内容,在日志文件中插入错误的条目。当日志文件自动处理时会将恶意条目写入日志文件,错误的日志条目会破坏文件格式,可以由此掩盖攻击者的入侵轨迹。或者通过回车符和换行符构造输入,将合法的日志条目进行拆分。 2.日志伪造的危害 利用该漏洞可以跨越信任边界获取敏感数据,攻击者将脚本注入日志文件,在使用 Web 浏览器查看文件时,浏览器可以向攻击者提供管理员 Cookie 的
Java代码漏洞检测-常见漏洞修复建议
最新发布
dzqxwzoe的博客
05-29 1543
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4426
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
spring boot解决log4j2漏洞升级问题
07-14 1079
使用这种方式的工程,只需要在pom文件中spring-boot-dependencies的坐标之前加入下面的log4j2的坐标,并将版本号修改为自己要升级的版本号即可,修改保存,执行maven导包命令,然后检查log4j2版本号就生效了。这种方式修复起来较为简单,在自己工程的pom文件中,增加如下内容,如果工程中已经有properties标签了,则直接在标签中追加log4j2.version标签即可,重新检查发现版本已经更新。情况二:使用spring-boot-dependencies依赖进行引用。
Java日志组件之三Log4j2漏洞剖析及重现
程序员青菜学厨记
11-01 236
先搭建一个SpringBoot项目,然后将spring-boot-starter-logging这个依赖移除,自己引用log4j-api-2.13.3.jar、log4j-core-2.13.3.jar这两个包,注(这是我们从自己以前老机器上找到的,现在官方应该是已经修复了,直接maven依赖进来应该是不能重现了)。你调用logger.info(name);注:我这里演示用的是同一台机器,但也可以很明显看得出来是在服务器上去执行远程黑客机器上的代码(那个代码在你的服务器上执行,而不是黑客自己的机器)。
Spring-Boot项目 修复log4j的漏洞
李康的博客
07-25 559
Spring-Boot项目 修复log4j的漏洞。通过替换日志组件来修复漏洞
spring-boot-2.5.0.zip
04-21
7. **日志框架升级**:Spring Boot 2.5.0 更新了内置的日志框架,比如Logback和Log4j2,提供了更好的日志配置和性能。 8. **Gradle插件更新**:Spring Boot Gradle插件也得到了改进,提供更灵活的构建选项,包括对...
spring-boot-2.2.0.RELEASE.zip
04-21
4. **安全更新**:Spring Security得到了增强,支持更多的认证和授权策略,同时对潜在的安全漏洞进行了修复。 5. **健康检查**:Actuator模块的健康检查功能进一步强化,提供了更多定制化选项,使得监控和管理应用...
spring-web-5.2.4_spring-web_SSM框架_
09-29
9. **Spring Boot集成**:虽然Spring Web本身不依赖于Spring Boot,但它们通常一起使用,Spring Boot简化了Spring Web的配置和启动过程。 在使用"spring-web-5.2.4"这个版本时,开发者可以获得官方稳定版本带来的...
spring-framework-5.3.23 源码
03-05
同时,修复的bug和安全漏洞确保了框架的稳定性和安全性。 总的来说,Spring Framework 5.3.23源码的学习将让你深入了解这个强大框架的内部工作原理,帮助你更好地利用其功能来构建高效、可扩展的企业级应用程序。...
【Log4j2 漏洞与解决方案】
m0_46459413的博客
12-29 499
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 6012
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
基于SpringBoot项目的漏洞修复经验
qq_27624807的博客
05-17 1866
漏洞修复
[20][03][71] Log Forging
安全新司机
12-20 1760
文章目录1. 描述2. 复现问题3. 修复方案 1. 描述 Log Forging 是日志伪造漏洞 在日常开发中为了便于调试和查看问题,需要通过日志来记录信息,java 中常见的日志组件 log4j, logback 等 查看日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息,如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据,则可能会妨碍或误导日志文件的解读 如果日志文件是自动处理的,那么攻击者就可以通过破坏文件格式或注入意外的字符,从而使文件无
Springboot项目升级Log4j版本,修复漏洞
qq_37507261的博客
12-13 3646
排除原本jar包,引入最新版本 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.bo
SpringBoot及SpringCloud解决Apache Log4j任意代码执行漏洞方法,附临时紧急处理方法5选1(所有JAVA程序均可)【完全清理解决三方组件引用log4j2】
qq_36387334的博客
12-13 5155
本方法主要用于配置修改,完全清理spring boot已经去除了spring-boot-starter-log4j2并切换使用logback,打包依然发现存在log4j相关包存在的解决办法。 现阶段不建议修改log4j2版本号,首先官方目前2个修复版本均发现可以绕过,尚无稳定版本**,并且各组件还是需要考虑可能兼容等问题。(更新:可以参考临时方法5直接更新版本号)
schedule-spring-boot-starter,druid-spring-boot-starter,filestore-spring-boot-starter,mvc-spring-boot-starter这个四个都是F4框架的starter吗
04-23
schedule-spring-boot-starter, druid-spring-boot-starter, filestore-spring-boot-starter, mvc-spring-boot-starter 这四个都是F4框架的starter。它们是为了方便在Spring Boot项目中集成F4框架而开发的插件。每个starter都提供了一些配置和功能,以便于在项目中使用对应的功能模块。这些starter可以简化配置和集成过程,提高开发效率。以下是对这四个starter的简要介绍: 1. schedule-spring-boot-starter:该starter提供了在Spring Boot项目中使用F4框架的定时任务调度功能。通过配置和使用该starter,可以方便地创建和管理定时任务。 2. druid-spring-boot-starter:该starter提供了在Spring Boot项目中使用F4框架的数据库连接池功能。通过配置和使用该starter,可以方便地集成Druid数据库连接池,并进行相关的配置和管理。 3. filestore-spring-boot-starter:该starter提供了在Spring Boot项目中使用F4框架的文件存储功能。通过配置和使用该starter,可以方便地集成文件存储模块,并进行文件的上传、下载、删除等操作。 4. mvc-spring-boot-starter:该starter提供了在Spring Boot项目中使用F4框架的MVC(Model-View-Controller)功能。通过配置和使用该starter,可以方便地创建和管理控制器、处理请求、返回响应等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值