又被漏洞追着跑?log4j2升级到 2.23.1 操作流程

最新推荐文章于 2024-06-28 09:15:00 发布
原创 最新推荐文章于 2024-06-28 09:15:00 发布 · 963 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#log4j

背景

Java 用第三方开源包,免不了被漏洞追着跑,几乎每年都要对最新爆出的漏洞组件进行升级,今年要升级的是 log4j2 和 nacos,升级到最新版本。

本文介绍 log4j2 升级到最新版本 2.23.1 的过程。

整理了一份面试笔记包括了:Java面试、Spring、JVM、MyBatis、Redis、MySQL、并发编程、微服务、Linux、Springboot、SpringCloud、MQ、Kafka 面试专题

需要全套面试笔记的【点击此处即可】即可免费获取

依赖包

log4j2 其实用法很简单,涉及到的 jar 包只有 5 个:

  1. log4j-1.2-api-2.23.1.jar
  2. log4j-api-2.23.1.jar
  3. log4j-core-2.23.1.jar
  4. log4j-slf4j-impl-2.23.1.jar
  5. slf4j-api-1.7.x.jar

log4j2 使用的门面框架包 slf4j-api-1.7.x.jar ,这个很重要,不能盲目对这个包进行升级,否则会报下列警告:

 

bash
 

复制代码
 

SLF4J: No SLF4J providers were found. SLF4J: Defaulting to no-operation (NOP) logger implementation SLF4J: See https://www.slf4j.org/codes.html#noProviders for further details. SLF4J: Class path contains SLF4J bi

                

        

    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
log4j1完美升级log4j2

				
			

			

				

					m0_61419412的博客
				

				

					11-01
					
					1018
					
				

			

		

		

			
				
Log4j 1.x 在高并发情况下出现死锁导致cpu使用率异常飙升,而Log4j2.0基于LMAX Disruptor的异步日志在多线程环境下性能会远远优于Log4j 1.x和logback。2、增加log4j2.x的三个jar包:log4j-api-2.20.1.jar和log4j-core-2.20.1.jar和一个中间桥接包log4j-1.2-api-2.20.1.jar;1、移除项目中的所有log4j的依赖包以及log4j的配置文件;一定要去除log4j的所有依赖包;

			
		

	



                

            
              



	

		

			

				
					
10、升级ES-7.8.0的log4j版本

				
			

			

				

					小确幸的博客
				

				

					04-23
					
					1827
					
				

			

		

		

			
				
记录下升级 ES-7.8.0 的 log4j 的 jar 包。

			
		

	



              


  
  
              

                


	

		

			

				
					
2021-08-01 Spring温习 持续更新...

				
			

			

				

					三毛毳毳的博客
				

				

					08-02
					
					179
					
				

			

		

		

			
				
spring 本文顺序全部按照 spring中文文档顺序进行的 地址:spring中文地址

Logging 日志

1.使用 Log4j 1.22.x
maven依赖

<dependencies>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-core</artifactId>
       

			
		

	





	

		

			

				
					
log4j-API-最新稳定版本log4j-1.2.17

				
			

			

				

					08-11
				

			

		

		

			
				
log4j-API-最新稳定版本log4j-1.2.17
apache  log4j-API-最新稳定版本log4j-1.2.17

			
		

	



		

			
		



	

		

			

				
					
Log4j 漏洞,用lombok的Slf4j没有影响

				
			

			

				

					miaohancheng的博客
				

				

					12-15
					
					1万+
					
				

			

		

		

			
				
漏洞描述

Apache Log4j2 是一款优秀的 Java 日志框架。20211124 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量

			
		

	





	

		

			

				
					
Java中Log4j 2日志框架的压缩包,版本是-2.23.0

				
			

			

				

					03-12
				

			

		

		

			
				
Java中的Log4j 2日志框架是一款广泛应用于企业级应用开发的日志处理工具,它在Log4j 1.x的基础上进行了大量的优化和改进,提供了更高效、更灵活的日志记录功能。Log4j 2.23.0是其最新的稳定版本,包含了对性能、安全...

			
		

	





	

		

			

				
					
log4j-core-2.12.0.jar

				
			

			

				

					04-21
				

			

		

		

			
				
log4j-core.jar 各个版本,免费下载 如果不能免费下载,关注我,评论区联系我索要!

			
		

	





	

		

			

				
					
log4j无代码改动升级log4j2 原properties改造

				
			

			

				

					ly690226302的博客
				

				

					12-20
					
					846
					
				

			

		

		

			
				
背景:
log4j 1.x 版本存在严重漏洞,一些老系统仍然使用的是log4j ,需要升级
方式:
1.原有的 log4j 移除
2.加入依赖
	这两个是必须要使用的依赖

		<dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <vers

			
		

	





	

		

			

				
					
log4j 1.2.17版本jar包

				
			

			

				

					12-14
				

			

		

		

			
				
Log4j 1.2.17虽然稳定,但请注意,较早的Log4j版本存在安全漏洞,例如著名的CVE-2021-44228(Log4Shell漏洞)。如果仍在使用这个版本,强烈建议升级到更安全的版本,以防止潜在的安全风险。  总的来说,Log4j 1.2.17...

			
		

	





	

		

			

				
					
日志版本-log4j2版本jar

				
			

			

				

					03-07
				

			

		

		

			
				
log4j升级版本,包含日志配置文件,要注意的是部分jar包的日志默认是log4j,需要在tomcat、jdk等其他中间件设置默认日志

			
		

	





	

		

			

				
					
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变

				
			

			

				

					Tom弹架构
				

				

					12-20
					
					2148
					
				

			

		

		

			
				
1 事件背景
经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。

相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。


			
		

	





	

		

			

				
					
Log4j漏洞补救 Log4j2 + SLF4j 升级最新版本

				
			

			

				

					zhaofuqiangmycomm的博客
				

				

					01-26
					
					1万+
					
				

			

		

		

			
				
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云

2019-01-15阅读2.3K0

目录

一:前言
	二:添加依赖
	2.1:去除直接和间接依赖的log4j1和SLF4j
		2.2:添加依赖
	
	三:xml配置
	3.1log4j2.xml常用demo
		3.2:demo的优点
		3.3:内容详解
		3.4:demo变形
		3.4.1:同步打印日志
			3.4.2:全部异步打印日志
			3.4.3:混合模式打印日志
		
	
	四:其他
	4.1:Log日.

			
		

	





	

		

			

				
					
Log4j2 再爆雷,Log4j v2.17.0 横空出世

				
			

			

				

					superjava_的博客
				

				

					12-21
					
					1197
					
				

			

		

		

			
				
Log4j2 再爆雷

Log4j2 这是没完没了了,栈长以为 Log4j 2.16.0 是最终终结版本了,没想到才过多久又爆雷了:





前两天栈长还说 Log4j 2.16.0 是最安全的版本,没想到这么快就又打脸了,Log4j 2.17.0 横空出世。。。





又来了。。Log4j2 这是中了新冠的毒?

这次又爆出来新的 DOS 拒绝服务攻击漏洞。。

如果你想关注和学习最新、最主流的 Java 技术,可以持续关注Java技术栈,第一时间推送。

安全漏洞:CVE-2021-45105



			
		

	





	

		

			

				
					
Log4j2发新版本2.16.0,加固漏洞防御,不想被攻击,就赶快更新啦!

				
			

			

				

					腾讯全栈-ITCJF
				

				

					12-15
					
					3090
					
				

			

		

		

			
				
Log4j2发新版本2.16.0,加固漏洞防御,不想被攻击,就赶快更新啦!

			
		

	





	

		

			

				
					
Apache Log4j2团队宣布Log4j 2.16.0发布,强烈建议升级

				
			

			

				

					码农小胖哥
				

				

					12-14
					
					4706
					
				

			

		

		

			
				
log4j 2.16.0发布,强烈建议升级

			
		

	





	

		

			

				
					
Log4j2 发新版本2.16.0 完全删除Message Lookups的支持,加固漏洞防御

				
			

			

				

					
				

				

					12-15
					
					1717
					
				

			

		

		

			
				
昨天,Apache Log4j 团队再次发布了新版本:2.16.0!

2.16.0 更新内容

默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启
	默认允许协议限制为:java、ldap、ldaps,并将ldap协议限制为仅可访问Java原始对象
	Message Lookups被完全移除,加固漏洞的防御
	java项目 fhadmin.cn
更多细节,可以通过官网查看:logging.apache.org/log4j/2.x/

Spring Boot用户如何升级

			
		

	





	

		

			

				
					
Log4j2再发新版本2.16.0,完全删除Message Lookups的支持,加固漏洞防御!

				
			

			

				

					程序猿DD
				

				

					12-15
					
					2609
					
				

			

		

		

			
				
昨天,Apache Log4j 团队再次发布了新版本:2.16.0 !2.16.0 更新内容默认禁用JNDI的访问,用户需要通过配置log4j2.enableJndi参数开启默认允许协议限...

			
		

	





	

		

			

				
					
日志框架log4j升级log4j2

					
热门推荐

				
			

			

				

					沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。  热爱AI,希望做出有影响力的技术成果。  技术点亮生活,分享连接价值与机会。  专注AI落地实战,陪你走好技术每一步。
				

				

					06-28
					
					6万+
					
				

			

		

		

			
				
大家好,我是默语,擅长全栈开发、运维和人工智能技术。在这篇博客中,我将详细介绍如何将日志框架从Log4j升级Log4j2,确保在项目中实现更高效、更安全的日志管理。关键词:Log4j2升级、日志框架、Java日志、SLF4J、Log4j2配置。升级步骤具体操作删除Log4j核心包注释Log4j依赖,并排除第三方包引入的Log4j引入Log4j2和SLF4J桥接包添加Log4j2核心包和SLF4J与Log4j2的桥接包修改日志打印代码使用SLF4J的LoggerFactory进行日志打印。

			
		

	





	

		

			

				
					
 Log4j 1 的用户升级到Apache Log4j 2最新版本

					
最新发布

				
			

			

				

					11-07
				

			

		

		

			
				
将 **Log4j 1.x** 用户升级到 **Apache Log4j 2 最新版本** 是一项重要的安全与性能优化任务。Log4j 1 已于 2015 年正式停止维护,而 Log4j 2 提供了更好的性能、插件化架构和关键的安全修复(如避免 Log4Shell 类...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			
			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值