升级springboot自带的logback-classic:1.2.3

已于 2023-10-10 14:13:57 修改
阅读量7.5k 收藏 12
点赞数 2
分类专栏: java基础 文章标签: spring boot logback java
于 2022-11-08 16:44:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_58862767/article/details/127753135
版权

升级原因:

Logback是一个 Java 应用程序的日志记录框架。
Logback存在远程代码执行漏洞,有编辑配置文件所需权限的攻击者可以制作恶意配置,允许执行从 LDAP 服务器加载的任意代码。

解决办法:

排除springboot自带的logback-classic:1.2.3(如果不排除会报错)

方法一:找到springboot项目中所有如下代码

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-xxx</artifactId>
            <version>2.0.3.RELEASE</version>
        </dependency>

 修改为:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-xxx</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>ch.qos.logback</groupId>
                    <artifactId>logback-classic</artifactId>
                </exclusion>
            </exclusions>
            <version>2.0.3.RELEASE</version>
        </dependency>

 方法二:直接修改

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <exclusions>
            <exclusion>
                <groupId>ch.qos.logback</groupId>
                <artifactId>logback-classic</artifactId>
            </exclusion>
        </exclusions>
        <version>2.0.3.RELEASE</version>
    </parent>

添加要升级的版本

<dependency>
    <groupId>ch.qos.logback</groupId>
    <artifactId>logback-classic</artifactId>
    <version>1.2.11</version>
</dependency>

成长笔记:springboot项目配置logback日志系统
Java-面试
04-19 2249
记录springboot项目配置logback日志文件管理: logback依赖jar包 SpringBoot项目配置logback理论上需要添加logback-classic依赖jar包: <dependency> <groupId>ch.qos.logback</groupId> <artifactId>logback-classic</artifactId> <version>1.2.3</versi
springboot整合Logback
m0_74825634的博客
01-01 1668
Logback是由log4j创始人设计的另外一种开源日志组件,性能比log4j要好。相对是一个可靠、通用、快速而又灵活的Java日志框架。当此属性设置为true时,配置文件如果发生改变,将会被重新加载,默认值为true设置监测配置文件是否有修改的时间间隔,如果没有给出时间单位,默认单位是毫秒。当scan为true时,此属性生效。默认的时间间隔为1分钟。设置Logback在启动和运行过程是否会打印日志。
Spring Boot 2.x 将 logback 1.2.x 升级1.3.x
cainiao1412的博客
04-16 5874
安全部门针对代码进行漏洞扫描时,发现和都属于1.2.x版本,这个版本存在CVE漏洞,并且建议升级1.3.x版本。
Logback介绍
qq_39311473的博客
06-24 277
一、logback的介绍 Logback是由log4j创始人设计的另一个开源日志组件,官方网站: http://logback.qos.ch。它当前分为下面下个模块: logback-core:其它两个模块的基础模块 logback-classic:它是log4j的一个改良版本,同时它完整实现了slf4j API使你可以很方便地更换成其它日志系统如log4j或JDK14 Logging logba...
Logback反序列化(CVE-2023-6378)漏洞修复方案
AoiMukou01的博客
03-21 688
针对logback的 CVE-2023-6378 漏洞,建议更新到如下系列对应版本:logback-classiclogback-core 的修补版本分别为:1.4.121.3.121.2.13-- 漏洞版本 -->-- 显式声明 logback-core(确保版本一致) -->-- 显式声明 logback-core(确保版本一致) -->-- logback-classic(漏洞版本) -->-- logback-classic(安全版本) -->Maven重构项目,下载新的依赖。
java日志框架总结(五、logback日志框架)
kkkkatoq的博客
02-06 2101
Logback是由log4j创始人设计的又一个开源日志组件。Logback当前分成三个模块:1logback-core是其它两个模块的基础模块。2logback-classic是log4j的一个改良版本。此外logback-classic完整实现SLF4J API。使你可以很方便地更换成其它日志系统如log4j或JDK14 Logging。3)logback-access访问模块与Servlet容器集成提供通过Http来访问日志的功能。
SpringBoot Logback配置,SpringBoot日志配置
04-27
NULL 博文链接:https://fanshuyao.iteye.com/blog/2414522
springcloud启动报错LoggerFactory is not a Logback LoggerContext but Logback...
一尘在心的博客
01-09 787
&lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-web&lt;/artifactId&gt; &lt;exclusions&gt; &lt;exclusion&gt;
logback-classic升级版本1.4.14,编译和打包都报错无法访问ch.qos.logback.classic.pattern.ClassicConverter
wanghl_的博客
03-21 1483
可知ClassicConverter.class反编译要求字节码版本为55.0即java11。最近安全要求升级logback-classic升级1.4.14,原有版本为1.2.12。(反编译.class文件,字节码版本:55.0)将jdk变更为java11,打包和升级成功。
springboot2.x升级3.x实战经验总结
热门推荐
记录点滴
03-06 3万+
随着Spring Framework URL解析不当漏洞(CVE-2024-22243)的发布,springboot升级3.x迫在眉睫,2.x的版本官方并未提供该漏洞的修复版本,后续应该也不会再发布新的版本。2.x升级3.x是一次大的跨越,接下来,本人结合实践经验,浅淡一下需要注重的地方。
Spring Boot 2.x.x 升级Spring Boot 3.x.x
专注于Java架构学习 https://gitee.com/laokouyun https://github.com/KouShenhai
11-03 1412
小伙伴们,你们好呀,好久不见,我是老寇,跟我一起升级Spring Boot版本。
Spring Boot - LogBack
Kant2048的博客
03-07 295
Logback是由log4j创始人设计的另一个开源日志组件。
SpringBoot-logback日志配置
没啥简介
03-24 937
springboot 日志配置 依赖 要是用lombok中的@Slf4j注解; starter-web中依赖了logback <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </depende
运行springboot时默认的loggback 和slf4j的依赖之间冲突
MADE_哒哒
08-06 1473
报错信息 SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/C:/me/F/MAVEN/MyRepos/ch/qos/logback/logback-classic/1.2.3/logback-classic-1.2.3.jar!/org/slf4j/impl/StaticLoggerBinder.class] SLF4J: Found binding in [jar:file:/
日志依赖冲突爆错显示LoggerFactory is not a Logback LoggerContext ... Either remove Logback or the competing im
最新发布
2301_78234190的博客
05-04 198
在上一个文章中,我给大家提供了百度智能云短文本语音在线合成的案例的pom文件的依赖。就在今天,我将测试模块的代码和依赖加入正常模块时,报错显示:Caused by: java.lang.IllegalArgumentException: LoggerFactory is not a Logback LoggerContext but Logback is on the classpath. Either remove Logback or the competing implementation。
SpringBoot日志管理
qq_48788523的博客
04-06 2240
SpringBoot的日志管理
Springboot 2.x升级3.x
qq_15255121的专栏
11-29 1077
运维在扫描项目的时候发现了官方发布的漏洞,我们使用的是spring框架的2.x系列,WebMvc依赖于5.3系列,描述说需要更新到5.3.40,但是官方迟迟不再更新。同时发现官方说5.3系列也就更新到2024。既然这样,我们就升级springboot3.x系列,mvc自然就更新到了6.1系列。下面把升级过程记录下。我们这里可以查询要升级的版本。
LoggerFactory is not a Logback LoggerContext but Logback is on the classpath. Either remove Logback
【欢迎关注公众号:冬瓜白】
10-08 1万+
今天在启动之前的Spring Boot项目的时候出现了这样的异常: SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/H:/maven/repository/org/slf4j/slf4j-log4j12/1.7.25/slf4j-log4j12-1.7.25.jar!/...
springboot 版本1.5.4 版本低 logback 升级1.3以上项目启动冲突Exception in thread “main“ java.lang.NoClassDefFoundErro
weixin_42161659的博客
06-27 2508
这时候启动就会报错Exception in thread "main" java.lang.NoClassDefFoundErro。直接pom文件引入logback1.3.7版本。
logback-classic-1.2.3中文对照API文档免费下载
logback-classic-1.2.3Logback的一个具体版本。本次提供的资源包括了该版本的jar包、原API文档、源代码以及翻译后的中英文对照版API文档。 1. jar包:logback-classic-1.2.3.jar 这是一个包含logback-classic...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值