七叶笔记 » golang编程 » 「问题记录」springboot项目中的log4j漏洞修复

「问题记录」springboot项目中的log4j漏洞修复

介绍语

本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发!

望各位码友点击关注, 冲1000粉 。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊

如果码友觉得代码太长,可以从头到尾快速扫射一遍,了解大概即可。觉得有用后再转发收藏,以备不时之需。

正文:

springboot项目中的log4j漏洞修复

本文章有相应的视频讲解,可以点击我的头像进入我的头条中查找到相应的视频。

最近log4j的漏洞新闻真是人人皆知啊,今天接到领导通知,去年做的项目需要解决log4j的漏洞问题,在此记录分下给各位码友。

springboot项目中引入log4j,需要把log4j升级到最新版本,具体操作如下:

log4j最新版本号

(当前2021-12-27时是2.17.0版本)

  <log4j.version>1.2.17</log4j.version>
 
 <log4j-api.version>2.17.0</log4j-api.version>
 <log4j-core.version>2.17.0</log4j-core.version>
 <log4j-jul.version>2.17.0</log4j-jul.version>
 <log4j-slf4j-impl.version>2.17.0</log4j-slf4j-impl.version>
 <log4j-to-slf4j.version>2.17.0</log4j-to-slf4j.version>
 <log4j-1.2-api.version>2.17.0</log4j-1.2-api.version>
 <log4j-web.version>2.17.0</log4j-web.version>  

首先查看项目中有那些log4j包

然后再把相应的包单独配置最新版本

  <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-api</artifactId>
   <version>${log4j-api.version}</version>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-core</artifactId>
   <version>${log4j-core.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-jul</artifactId>
   <version>${log4j-jul.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-slf4j-impl</artifactId>
   <version>${log4j-slf4j-impl.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-core</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-to-slf4j</artifactId>
   <version>${log4j-to-slf4j.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-web</artifactId>
   <version>${log4j-web.version}</version>
 </dependency>
 <dependency>
   <groupId>org.apache.logging.log4j</groupId>
   <artifactId>log4j-1.2-api</artifactId>
   <version>${log4j-1.2-api.version}</version>
   <exclusions>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>  

排除springboot中依赖的低版本jar包

  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-web</artifactId>
   <exclusions>
     <exclusion>
       <groupId>org.springframework</groupId>
       <artifactId>spring-web</artifactId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-api</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-to-slf4j</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>
 <!-- 引入log4j2 -->
 <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-log4j2</artifactId>
   <exclusions>
     <exclusion>
       <groupId>org.apache.logging.log4j</groupId>
       <artifactId>log4j-api</artifactId>
     </exclusion>
     <exclusion>
       <groupId>org.apache.logging.log4j</groupId>
       <artifactId>log4j-core</artifactId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-jul</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
     <exclusion>
       <artifactId>log4j-slf4j-impl</artifactId>
       <groupId>org.apache.logging.log4j</groupId>
     </exclusion>
   </exclusions>
 </dependency>  

鄙人编码十年多,在项目中也积累了一些工具类,很多工具类在每个项目都有在用,很实用。大部分是鄙人封装的,有些工具类是同事封装的,有些工具类已经不记得是ctrl+c的还是自己封装的了,现在有空就会总结项目中大部分的工具类,分享给各位码友。如果文章中涉及的代码有侵权行为请通知鄙人处理。

计划是先把工具类整理出来,正所谓工欲善其事,必先利其器。项目中不管是普通单体项目还是多模块maven项目或是分布式微服务,一部分功能模块都是可以重用的,工具类模块就是其中之一。

相关文章