强制指定log4j版本(打包后也没问题)

最新推荐文章于 2025-10-20 09:09:53 发布
原创 最新推荐文章于 2025-10-20 09:09:53 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jar #apache

针对近期的log4j漏洞问题,本文介绍了如何通过在公共依赖管理或单独服务的POM配置中,强制指定log4j版本为2.17.2,以确保所有涉及log4j的组件都已更新,提升系统安全性。

背景:

log4j漏洞从去年升级了好几个版本,确实已经让大家很烦躁了,但还是得要处理下

动手:

一般来说多个服务依赖都会引用同一个公共依赖管理,来减少版本冲突,这样我们直接在公共依赖里面强制指定即可。

1、公共依赖POM设置:

<properties>
    <log4j.version>2.17.2</log4j.version>
    <!--这个是指定一些依赖中的版本-->
    <log4j2.version>2.17.2</log4j2.version>
</properties>


   <dependencyManagement>
        <dependencies>
    
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-api</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-core</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-to-slf4j</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            <dependency>
                <groupId>org.apache.logging.log4j</groupId>
                <artifactId>log4j-slf4j-impl</artifactId>
                <version>${log4j.version}</version>
            </dependency>
            
        </dependencies>
    </dependencyManagement>

2、单独的服务

只有一个服务,也没引用公共的依赖怎么搞呢,也是一样的

POM设置

<properties>
    <log4j.version>2.17.2</log4j.version>
    <!--这个是指定一些依赖中的版本-->
    <log4j2.version>2.17.2</log4j2.version>
</properties>

  <dependencies>
  
        <!--强制指定log4j版本-->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>${log4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>${log4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-to-slf4j</artifactId>
            <version>${log4j.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
            <version>${log4j.version}</version>
        </dependency>

    </dependencies>

效果:

打包后,我们把打开jar包里面看看,所有涉及到log4j的版本都是我们指定的 2.17.2

在这里插入图片描述

前端发版后及时拉取最新版本代码, 解决浏览器缓存问题;| jQuery拦截所有Ajax请求,全局添加token请求头
专注于计算机研发知识和资讯分享
08-22 1096
vue 默认配置,打包后 css 和 js 的名字后面都加了哈希值,不会有缓存问题,但是 index.html 在服务器端可能是有缓存的,需要在服务器配置不让缓存 index.html。proxy_set_header是nginx设置请求头给上游服务器,add_header是nginx设置响应头信息给浏览器。问题: 当修改了JS文件的内容并发布到线上时,用户的浏览器可能会因为缓存了旧的JS文件而不会立即加载新的代码。更新生产环境站点资源时,需要错开高峰期 ,涉及前端文件更新的,记得做站点缓存验证。
MySQL高频基本面试问题整理
热门推荐
张彦峰的博客
04-07 174万+
总结大厂MySQL高频基本面试问题整理,用于快速查缺补漏
几种志框架:Log4j Log4j2 SLF4J logback和Apache Commons Logging的比较
qq_33449307的博客
06-20 1295
作为Java开发人员,对于日志记录框架一定非常熟悉。而且几乎在所有应用里面,一定会用到各种各样的日志框架用来记录程序的运行信息。而对于一个成熟的Java应用,这个是必不可少的。在开发和调试阶段,日志可以帮助我们更快的定位问题;而在应用的运维过程中,日志系统又可以帮助我们记录大部分的异常信息,通常很多企业会通过收集日志信息来对系统的运行状态进行实时监控预警。 总体概览 image.png 目前的日志框架有JDK自带的logging,log4j1、log4j2、logback ,这些框架都自己定制了.
log4j-to-slf4j-2.17.1-API文档-中文版.zip
05-04
赠送jar包:log4j-to-slf4j-2.17.1.jar; 赠送原API文档:log4j-to-slf4j-2.17.1-javadoc.jar; 赠送源代码:log4j-to-slf4j-2.17.1-sources.jar; 赠送Maven依赖信息文件:log4j-to-slf4j-2.17.1.pom; 包含翻译后的API文档:log4j-to-slf4j-2.17.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.logging.log4j:log4j-to-slf4j:2.17.1; 标签:apacheslf4j、logging、log4jjar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
获取Log4j-core Maven坐标
最新发布
Leon_Jinhai_Sun的博客
10-20 294
的 Maven 依赖坐标如下:</</</</
log4j版本jar
02-01
log4j-1.2.12,log4j-1.2.13,log4j-1.2.14,log4j-1.2.15,log4j-1.2.16,log4j-1.2.17
Java日志使用slf4j配置log4j详解
weixin_38927257的博客
11-13 1109
文章目录依赖包配置log4j使用log4j设置日志文件名ConversionPattern参数的意义 依赖包 slf4j-apislf4j-log4j12版本要一致 <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <v...
如何通过项目配置文件指定Log4J的配置文件
stamen的程序员之路
07-28 1051
[b][size=x-large]引言[/size][/b] 在[url=http://stamen.iteye.com/blog/2230665l]打造易于部署的WEB应用项目 [/url]一文中,我们介绍了如何对WEB项目进行重构,使项目WAR包无状态化,给项目部署升级带来了极大的便利的方法: 1)首先是将项目配置文件通过JVM系统参数指定,将项目部署文件移出WAR包,使项目WAR包...
在idea后台启动没问题,但是在打包jar包后启动,查询的中文都是乱码
07-03
### ✅ 方法二:配置 Spring Boot 的日志框架编码(logback / log4j2) #### 如果你使用的是 `logback-spring.xml`,确保控制台和文件输出都指定了 UTF-8: ```xml <pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%...
HbuilderX中真机测试没问题打包后录音上传失败
msy_msy的博客
07-24 1165
android 没有勾上录音的写入和读取权限,申请第三方(高德https://lbs.amap.com/dev/key/app),填写SHA1等,获取key,填入manifest.json SDK配置,打包时必须选择自有证书,填写相关信息,打包 Android权限大全 1.android.permission.WRITE_USER_DICTIONARY  允许应用程序向用户词典中写入新词 2...
『CV学习笔记』Pyinstaller打包python程序遇到的问题(Win&Linux)+Cython编译动态库+PyArmor加密
AI新视界
08-03 2723
PyInstaller将Python应用程序及其所有依赖项捆绑到一个单独的包中。用户可以在不安装Python解释器或任何模块的情况下运行打包的应用程序。最新的PyInstaller 6.3.0支持Python 3.8及更高版本,并正确捆绑了许多主要的Python包,例如numpy、matplotlib、PyQt、wxPython等。
apache-log4j-2.17.2-bin.tar
05-03
这个是解决了漏洞版本
log4j-spring-boot-2.17.2.jar
06-20
log4j-spring-boot-2.17.2.jar
log4j-to-slf4j-2.14.0.jar
05-28
Log4j 2 APISLF4J之间的Apache Log4j绑定。 org.apache.logging.log4j/log4j-to-slf4j/2.14.0/log4j-to-slf4j-2.14.0.jar
log4j-to-slf4j-2.11.2.jar
01-08
log4j-to-slf4j-2.11.2.jar
log4j-to-slf4j:从 Log4j 迁移到 SLF4J 的实用程序。 它还将 Log4j 日志消息转换为 SLF4J 日志消息
07-09
介绍 这是一个简单的实用程序,可用于将 Log4j 格式的日志语句转换为 SLF4J 格式的日志语句。 示例输入是: logger.info("Hello " + who); 将转换为: logger.info("Hello {}", who); 先决条件 您应该安装了 Python 2.7.x。 假设您使用的是具有可变参数支持的 SLF4J 1.7 或更高版本。 怎么跑? 运行这个脚本非常容易。 只需使用文件名作为参数调用脚本。 log4jtoslf4j.py ExampleInput.java 原始输入文件将以 .orig 扩展名保存。 您可以提供多个输入文件作为参数。 重要笔记 假设您的记录器被命名为 log 或 logger(不区分大小写)。 如果您以任何其他方式命名记录器,请修改全局变量 LOGGER_NAMES,它应该可以工作。 建议您仅对已签入的文件运行转
Log4j配置文件和pom.xml文件的相应配置
m0_74141097的博客
09-28 889
Log4j文件的依赖和代码
java详解 ---log4j的两个版本
月牙湾的博客
12-27 9492
先来看看一些关于一些jar包的一些问题: 1.为什么要使用jar包? 官方提供的一些包功能之外,如果想拓展一些别的功能,你就可以借助引入一些别的第三方jar包用来扩展项目的功能. 2.如何引用第三方jar包? ①.先获取jar(需要知道jar名 与 jar版本获取jar) ②.把jar包引入至项目 外部项目 内部项目 和 自定义library三种方法. ③.引入步骤: (
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变
Tom弹架构
12-20 2143
1 事件背景 经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。 相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。
uniapp安卓本地插件自定义基座运行没问题,云打包不生效
05-10
好的,我现在需要解决用户提出的关于UniApp自定义基座在云打包后不生效的问题。用户提到之前提供的引用内容,我需要结合这些信息来分析可能的原因和解决方案。 首先,根据引用[1],自定义基座主要用于开发调试,不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值