SpringBoot+gradle项目修复Log4j2高危漏洞-升级log4j2版本

最新推荐文章于 2024-08-14 10:38:26 发布
最新推荐文章于 2024-08-14 10:38:26 发布
阅读量744 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: gradle spring boot java log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15694721/article/details/122946793
本文介绍了如何在SpringBoot项目中针对Log4j的安全漏洞进行修复,特别是对于2.4.3及以上版本的SpringBoot,可以直接升级版本。对于低版本,可以通过排除旧的log4j组件并引入2.17.1的新版本来解决,包括log4j-api、log4j-core和log4j-jul。对于是否需要升级JUL,目前尚不确定。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对与springboot在2.4.3以上可以直接修改版本号,对于低版本可以替换log4j-api, 'log4j-core' 和'log4j-jul',如下:

compile('org.springframework.boot:spring-boot-starter-log4j2'){
    exclude group: 'org.apache.logging.log4j', module: 'log4j-api'
    exclude group: 'org.apache.logging.log4j', module: 'log4j-core'
    exclude group: 'org.apache.logging.log4j', module: 'log4j-jul'
}
compile('org.apache.logging.log4j:log4j-api:2.17.1')
compile('org.apache.logging.log4j:log4j-core:2.17.1')
compile('org.apache.logging.log4j:log4j-jul:2.17.1')

jul暂时也不知道是否必须升级,有知道的小伙伴可以告诉我一下哈

qq_15694721
关注
log4j 升级方案 Java
CyberNerdX的博客
09-13 648
log4jJava中一个流行的日志记录框架,然而,随着时间的推移,log4j版本可能会陈旧,并且可能存在安全漏洞和性能问题。因此,升级log4j版本是一个重要的任务,以确保应用程序的稳定性和安全性。如果项目使用的是Maven或Gradle等构建工具,可以通过修改项目的依赖配置文件来更新log4j版本。根据新版本的文档,检查配置文件中是否有新的配置选项或更改了现有配置的语法。根据项目需求,进行相应的修改。因此,在升级log4j版本后,需要检查代码中使用log4j的部分,并进行相应的调整。
springboot gradle项目集成日志log4j2
qq_36090537的博客
02-03 1480
这篇文章,主要介绍SpringBoot集成log4j2日志框架。
Log4j2漏洞gradle版本修复
MKNDG的专栏
01-05 1637
最近log4j2爆发了漏洞,我们的工程本身并未引用log4j2,但是引用的第三方包中引用了。 解决方法为在根build.gradle下面进行统一升级: allprojects { ------其他配置----- //统一升级 configurations.all { resolutionStrategy.eachDependency { DependencyResolveDetails details -> if (.
spring boot gradle修改log4j2版本
文思源想的技术空间
06-13 650
spring boot升级日志依赖
spring-boot-starter-log4j2
09-25
此资源包含spring-boot-starter-log4j2日志框架所需的jar包及版本,童叟无欺,真实有效,放心下载
spring boot升级log4j2.version
fenyu8的专栏
04-02 1483
log4j2漏洞问题,需要把spring bootlog4j2版本升级2.16.0,可以用<log4j2.version>对版本进行升级, <properties> <log4j2.version>2.16.0</log4j2.version> </properties> 更新后,可以看到所引用的log4j2包已更新到指定版本 为什么Spring Boot项目加上<log4j2.vers.
log4j2核弹级漏洞原理和分析
2401_84411847的博客
04-19 1071
起因这两天被log4j2漏洞给刷屏了,就像下面这样但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种级别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低级漏洞了。原理就是。
log4j_2.1.5.zip
12-14
Log4j 2.1.5的发布,正是为了修复这个高危漏洞。此版本中,开发者增强了对JNDI Lookup处理的安全性,限制了非法的JNDI链接解析,防止恶意数据注入。同时,更新了配置文件,提供了默认的安全设置,比如禁用了JNDI查找...
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 2027
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2Log4j升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
深入探索Java开发利器:Apache Log4j 2.13.0
Log4j 2.14.1之前的版本中,存在一个高危漏洞,即Log4Shell(CVE-2021-44228),该漏洞允许攻击者通过JNDI注入远程加载和执行任意代码,严重威胁到使用Log4j 2Java应用安全。因此,了解并及时更新到安全版本的...
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-14 7294
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
springboot中移除tomcat插件的方法
Mr_lambor的博客
10-05 1786
<dependency>    <groupId>org.springframework.boot</groupId>    <artifactId>spring-boot-starter-web</artifactId>    <!-- 从依赖信息里移除 Tomca...
一行配置搞定Spring Boot项目log4j2 核弹漏洞
HollisChuang's Blog
12-12 332
相信昨天,很多小伙伴都因为Log4j2的史诗级漏洞忙翻了吧?看到群里还有小伙伴说公司里还特别建了800+人的群在处理...好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影...
Spring BootGradle构建中使用Log4j日志
weixin_33762321的博客
10-10 796
2019独角兽企业重金招聘Python工程师标准>>> ...
gradle工程 springboot中使用log4j2
nanjizhiyin的专栏
09-12 1392
gradle中配置 configurations { providedRuntime // remove default logger all*.exclude group: 'org.springframework.boot', module: 'spring-boot-starter-logging' } dependencies { compile ...
spring-boot配置log4j(gradle)
ChinFeng的专栏
09-22 5099
spring-boot默认使用logback作为日志框架 要配置log4j,要在各种starter中排除logging依赖 添加 log4j依赖 如: compile ('org.springframework.boot:spring-boot-starter-web'){ exclude module: 'spring-boot-starter-logging' } compil
gradle 配置 springboot 避免log4j 与 自带的 logback 冲突
u011528738的博客
09-02 6783
  // springboot-log4j (勿删) 去除springboot自带的logback,避免了与log4j的冲突(LoggerFactory is not a Logback LoggerContext but Logback is on the classpath) compile("org.springframework.boot:spring-boot-sta...
Springboot Maven或Gradle 解决log4j2漏洞
beyourself
12-16 2439
Springboot Maven或Gradle 解决log4j2漏洞
SpringBoot日志升级Log4j2
天然玩家的博客
12-21 1165
Log4j2日志升级2.17.0
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值