Spring-Boot项目 修复log4j的漏洞

已于 2023-07-25 15:21:09 修改
阅读量846 收藏
点赞数
文章标签: log4j 单元测试
于 2023-07-25 15:11:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45913487/article/details/131913606
版权
文章讲述了在项目接入公网前,发现log4j日志版本过低存在安全风险。现状是使用了spring-boot-starter-log4j2组件且依赖了log4j的相关库。解决方案是排除log4j-core的依赖,只保留log4j-api到2.17.1版本,并使用log4j-slf4j-impl的最新版,以消除安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

修复log4j的漏洞

背景

由于项目要接入公网,故需要在接入公网前对引入log4j的项目进行安全漏洞测试。结果检测出log4
j日志版本太低。要求将logj的版本升级到2.17.1
在这里插入图片描述

现状

1.现在引入的是spring-boot-starter-log4j2,而这个组件是依赖
log4j-api,log4j-core,log4j-slf4j-impl这几个组件的,
在这里插入图片描述
2.使用的是日志注解是lombok包下面的@Slf4j注解,并没有版本号,因此找了半天没有发现使用log4j的日志,那么问题也就卡在这里,安全同事说我们不通过,但我也找不到问题所在
在这里插入图片描述
3.我们去掉spring-boot-starter-log4j2组件后,项目整个的日志都不打印了,因此又回退代码

解决方案

lombok下面的注解只是一个声明,具体的实现还是依赖的spring-boot-starter-log4j2这个组件,因此实际上我们使用的日志还是spring-boot-starter-log4j2组件下的log4
j,我直接把spring-boot-starter-log4j2日志的组件替换成以下日志的实现(实际上排掉org.apache.logging.log4j包这个即可)

从以下可以看出:只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

从版本 2.17.1(以及 Java 7 和 Java 6 的 2.12.4 和 2.3.2)开始,JDBC Appender 将使用 JndiManager 并要求 log4j2.enableJndiJdbc 系统属性包含 true 值以启用 JNDI。

    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-api</artifactId>
        <version>2.17.1</version>
    </dependency>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-core</artifactId>
        <version>2.17.1</version>
        <exclusions>
            <exclusion>
                <artifactId>log4j-api</artifactId>
                <groupId>org.apache.logging.log4j</groupId>
            </exclusion>
        </exclusions>
    </dependency>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-slf4j-impl</artifactId>
        <version>2.17.1</version>
        <exclusions>
            <exclusion>
                <artifactId>log4j-api</artifactId>
                <groupId>org.apache.logging.log4j</groupId>
            </exclusion>
            <exclusion>
                <artifactId>log4j-core</artifactId>
                <groupId>org.apache.logging.log4j</groupId>
            </exclusion>
        </exclusions>
    </dependency>
克乐乐了
关注
解决Spring Boot项目中的Log4j核弹漏洞
DevRevolt的博客
09-03 395
Spring Boot项目中使用Log4j的开发人员应该尽快升级到修复漏洞的版本并检查配置文件,确保没有恶意或可疑的配置。如果您的项目中使用的是Log4j 2.x版本,那么您的应用程序很可能受到漏洞的影响。如果您的项目中使用的是受漏洞影响的Log4j版本,您应该尽快升级到安全的版本。在升级Log4j版本后,您需要检查项目中的相关配置文件,确保没有使用受漏洞影响的功能或配置。请注意,您可能还需要更新其他使用Log4j的相关库或插件,以确保整个项目中的所有依赖项都使用修复后的版本。
springboot升级log4j2,解决漏洞问题
芝麻年糕的博客
12-17 7414
最近log4j2爆出有重大漏洞问题,公司也紧急要求各个项目自己查验,要求将log4j的版本升到安全版本
spring boot极速修复log4j漏洞
小马的专栏
12-13 1775
周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。 出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,我项目里实际使用的是slf4j,而且我也没有引用log4j-core这个包,理论上来说是不会有漏洞的。 但是永远伟大正确的甲方爸爸说了,我不管,我看见log4j就害怕,看见后边是2
Spring Boot集成Log4j详解:从入门到精通
最新发布
Clf丶忆笙
05-08 1266
追踪程序执行流程诊断和调试问题监控系统运行状态记录用户操作行为// 简单的日志记录示例logger.info("开始创建订单,订单ID:" + order.getId());try {// 业务逻辑logger.debug("订单处理中...");logger.error("创建订单失败", e);logger.info("订单创建完成");特性Log4j2Logback性能高中低配置方式XML/GroovyProperties异步日志支持支持。
Springboot项目升级Log4j版本,修复漏洞
qq_37507261的博客
12-13 3754
排除原本jar包,引入最新版本 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.bo
【信息安全】Springboot关于最近log4j核弹级漏洞修复
m0_67403076的博客
03-29 531
目录标题 Springboot的日志 第一种方法:Exclude 第二种方法:新增properties Springboot的日志 Springboot默认使用的日志组件是Logback而不是log4j2。但是顶不住其他组件使用了。 第一种方法:Exclude 如果用的IDEA专业版,选择maven里root pom,点击Show Dependencies ,然后找到log4j-api,右键选择Exclude,然后在pom里新增2.15.0版本的log4j。 第二种方法:新增properties
SpringBoot项目修复Log4j2高危漏洞-升级log4j2版本至2.15.0
why_adon的博客
12-13 5970
spring boot集成log4j2的项目中,升级log4j2版本至2.15.0有两种方法: 解决办法一: 屏蔽spring-boot-starter-log4j2的log-api和log-corejar,单独引用log4j-api和log4j-core的2.15.0版本 <!-- log4j2 --> <dependency> <groupId>org.springframework.boot</groupId> <art
【重核】Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞
2401_83916326的博客
04-18 949
当然,如果只是为了解决 Log4j2 的漏洞而升级 Spring Boot 主版本,如果不是必须,追最新版本那大可不必,解决漏洞可以只升级 Log4j2 的版本即可。为了解决 Log4j2 近期发生的核弹级漏洞Spring Boot 之前说新版本会升级到 Log4j v2.15.0,其中囊括了JVM、锁、并发、Java反射、Spring原理、微服务、Zookeeper、数据库、数据结构等大量知识点。其他的 Spring Boot 2.4.x 及以下的版本线不受支持。Gradle 项目的升级也是同理,略。
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2的...
springboot排除日志
风力雾里
12-05 1373
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions> <exclusion> &l...
springboot 高版本后继续使用log4j的完美解决方法
08-28
主要介绍了 springboot 高版本后继续使用log4j的解决方法,需要的朋友可以参考下
一行配置搞定Spring Boot项目log4j2 核弹漏洞
程序猿DD
12-11 742
相信昨天,很多小伙伴都因为Log4j2的史诗级漏洞忙翻了吧?看到群里还有小伙伴说公司里还特别建了800+人的群在处理...好在很快就有了缓解措施和解决方案。同时,log4j2官方也是速度影...
Spring Boot 应对 Log4j2 注入漏洞指南
Linuxprobe18的博客
01-28 207
导读 Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。 默认配置不受影响 Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot
SpringBoot项目解决 log4j2 核弹漏洞
热门推荐
孙霸天的专栏
12-13 1万+
SpringBoot项目解决 log4j2 核弹漏洞! 事件情况 北京时间12月9号深夜,Apache Log4j2被曝出一个高危漏洞,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2。该漏洞被命名为Log4Shell,编号CVE-2021-44228。 高版本的jdk已修改默认配置,可以在一定程度上限制JNDI漏洞利用方式。在这些版本中 com.sun.jndi.ldap.ob
Apache Log4j曝史诗级漏洞Spring boot修复教程
chechengtao
12-13 7150
全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞,攻击者可以利用该漏洞远程执行恶意代码。据阿里云通报,由Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 该漏洞于12月7日由游戏平台Minecraft用户在网上曝光,据称黑客可以通过操作日志消息(甚至在聊天信息中键入内容),并且还可以在Minecraft服务器端执行恶意代码。Apache log4j官方在7日当天便发布2.15.0-rc1版本以修复漏洞,随后,阿里云、斗象
spring boot log4j2 漏洞修复
流月up的博客
10-16 238
log4j2的bug修复,局部版本升级
终于,Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞
m0_65618219的博客
12-23 1423
Spring Boot 2.6.2 发布 为了应对及解决 Log4j2 的核弹级漏洞Spring Boot 会在 2021/12/23 左右发布新版: 这不,效率还不错,提前 2 天发版了(2021/12/21),可能是 Log4j2 漏洞的最终尘埃落定吧,最近没少折腾人,Spring Boot 2.6.2 终于来了: 同时发布的还有 Spring Boot 2.5.8,另外可以看到,Spring Boot 现在目前维护了 4 条版本线: 2.6.x(新发布) ...
spring-boot-starter-freemarker,spring-boot-starter-log4j2帮我选取一个稳定的版本
03-03
<think>嗯,用户想要了解Spring Boot中的spring-boot-starter-freemarker和spring-boot-starter-log4j2,并且需要推荐稳定的版本。首先,我需要确认这两个starter的作用以及它们在Spring Boot中的版本兼容性。 首先,spring-boot-starter-freemarker是用来集成Freemarker模板引擎的,方便在Spring Boot应用中渲染视图。而spring-boot-starter-log4j2则是用于集成Log4j2日志框架,替代默认的Logback。用户可能需要这些依赖来满足特定的模板渲染或日志需求。 接下来要考虑的是版本选择。Spring Boot的版本会直接关联到这些starter的版本,所以需要选择一个稳定的Spring Boot版本。目前最新的稳定版是3.2.x系列,比如3.2.5,但考虑到长期支持,可能2.7.x(官方维护到2025年)也是一个选项,特别是如果用户还在用Java 8或不想升级到Java 17的话。 然后,需要检查这两个starter在对应Spring Boot版本中的稳定性。对于Spring Boot 3.x,需要Java 17及以上,而2.7.x支持Java 8到19。如果用户的项目环境是Java 8,那么只能选2.7.x。另外,Log4j2的版本需要注意是否有安全漏洞,比如过去的CVE问题,应确保推荐的版本已经修复了这些漏洞。 Freemarker的版本兼容性也需要确认,Spring Boot的starter通常会管理好这些依赖的版本,所以只要选对Spring Boot版本即可。例如,Spring Boot 2.7.23会使用Freemarker的稳定版本,如2.3.32,而Log4j2的版本可能为2.20.0,这两个都是已知的稳定版本,没有已知的高危漏洞。 还要考虑用户是否需要长期支持版本,Spring Boot 2.7.x属于较旧的版本,但仍在维护期内,适合需要稳定且不急于升级的项目。而3.x系列则提供了更多新特性,但需要更高的Java版本支持。 总结下来,需要根据用户的Java版本和项目需求来推荐。如果用户使用Java 17或更高,推荐Spring Boot 3.2.5;如果还在用Java 8,则推荐2.7.23。同时,给出相应的依赖示例,并提醒检查安全公告,确保Log4j2的版本没有漏洞。</think>以下是关于这两个 Spring Boot Starter 的说明及版本推荐: ### 一、组件说明 1. **spring-boot-starter-freemarker** - 用途:集成 Freemarker 模板引擎(常用于 HTML 页面渲染) - 特点:自动配置模板路径、支持热加载、与 Spring MVC 无缝集成 - 文件扩展名:`.ftl` 2. **spring-boot-starter-log4j2** - 用途:集成 Log4j2 日志框架(替代默认的 Logback) - 特点:高性能异步日志、支持 YAML/JSON 配置、丰富的过滤策略 --- ### 二、版本推荐 #### 方案 1:Spring Boot 3.x 系列(最新稳定版) - **推荐版本**:`3.2.5` (2024年1月发布) - **适用场景**:需要长期维护的新项目,使用 Java 17+ - **依赖配置**: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-freemarker</artifactId> <version>3.2.5</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> <version>3.2.5</version> </dependency> ``` #### 方案 2:Spring Boot 2.7.x 系列(长期维护版) - **推荐版本**:`2.7.23` (官方维护至 2025年8月) - **适用场景**:需要 Java 8 兼容的存量项目 - **依赖配置**: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-freemarker</artifactId> <version>2.7.23</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> <version>2.7.23</version> </dependency> ``` --- ### 三、版本选择建议 1. **Java 版本**: - Spring Boot 3.x:要求 Java 17+ - Spring Boot 2.7.x:支持 Java 8-19 2. **安全考量**: - Log4j2 推荐使用 `2.20.0+` 以修复历史漏洞(CVE-2021-44228 等) - 以上推荐版本均已包含安全修复 3. **兼容性验证**: - 可通过 Spring Initializr 验证依赖组合: ``` https://start.spring.io ``` 建议优先选择 Spring Boot 3.2.5(如需新特性)或 2.7.23(需 Java 8 支持),这两个版本均经过大量生产环境验证。使用前请检查官方安全公告:[Spring Security Advisories](https://spring.io/security)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值