标签：Spring Boot Log4j2 漏洞 2.15 Log4J2 log4j

默认配置不受影响

Spring Boot默认日志组件是logback，开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-starter-logging不能独立利用。只有log4j-core在日志消息中使用和包含用户输入的应用程序容易受到攻击。

也就是说Spring Boot现在包含Log4J2的依赖只要你不启用是不会触发漏洞的。

下版本更新补丁

Spring Boot将在2021 年 12 月 23 日后发布的 2.5.8 和 2.6.2 版本将采用打了补丁的Log4J v2.15.0，但由于这是一个极其严重的漏洞，一定要覆盖我们的依赖项管理并尽快升级您的 Log4J2 依赖项。

Maven用户

对于 Maven 用户，您可以通过覆盖自己项目中pom.xml的版本号配置属性来修改该依赖的版本号。提升Log4J2到安全版本只需要：

   <properties> 
       <log4j2.version>2.15.0</log4j2.version> 
   </properties> 

然后使用./mvnw dependency:list | grep log4j命令运行以检查版本是否为 2.15.0。

Gradle用户

对于大多数用户来说，设置log4j2.version属性就足够了：

ext['log4j2.version'] = '2.15.0' 

如果你的Gradle并没有直接对Spring Boot进行依赖管理，你可以添加Log4J BOM依赖项:

implementation(platform("org.apache.logging.log4j:log4j-bom:2.15.0")) 

“万金油”的方法是声明一个Gradle的resolutionStrategy:

configurations.all { 
 resolutionStrategy.eachDependency { DependencyResolveDetails details -> 
  if (details.requested.group == 'org.apache.logging.log4j') { 
   details.useVersion '2.15.0' 
  } 
 } 
} 

上面三种方法无论你使用哪种，安全起见都需要使用下面的命令进行检查确认：

/gradlew dependencyInsight --dependency log4j-core 

漏洞演示

漏洞攻击的演示代码，我将在周一通过公众号文章进行详细讲解，请持续关注。Linux就该这么学

标签：Spring,Boot,Log4j2,漏洞,2.15,Log4J2,log4j
来源： https://blog.csdn.net/Linuxprobe18/article/details/122099841

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。