gpt4 book ai didi

Spring Boot 应对 Log4j2 注入漏洞官方指南

转载 作者:qq735679552 更新时间:2022-09-27 22:32:09 32 4
gpt4 key购买 nike

CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章Spring Boot 应对 Log4j2 注入漏洞官方指南由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.

Spring Boot 应对 Log4j2 注入漏洞官方指南

Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法.

默认配置不受影响

Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-starter-logging不能独立利用。只有log4j-core在日志消息中使用和包含用户输入的应用程序容易受到攻击.

也就是说Spring Boot现在包含Log4J2的依赖只要你不启用是不会触发漏洞的.

下版本更新补丁

Spring Boot将在2021 年 12 月 23 日后发布的 2.5.8 和 2.6.2 版本将采用打了补丁的Log4J v2.15.0,但由于这是一个极其严重的漏洞,一定要覆盖我们的依赖项管理并尽快升级您的 Log4J2 依赖项.

Maven用户 。

对于 Maven 用户,您可以通过覆盖自己项目中pom.xml的版本号配置属性来修改该依赖的版本号。提升Log4J2到安全版本只需要:

  1. 2.15.0

然后使用./mvnw dependency:list | grep log4j命令运行以检查版本是否为 2.15.0.

Gradle用户 。

对于大多数用户来说,设置log4j2.version属性就足够了:

  1. ext['log4j2.version'] = '2.15.0'

如果你的Gradle并没有直接对Spring Boot进行依赖管理,你可以添加Log4J BOM依赖项

  1. implementation(platform("org.apache.logging.log4j:log4j-bom:2.15.0"))

“万金油”的方法是声明一个Gradle的resolutionStrategy

  1. configurations.all {
  2. resolutionStrategy.eachDependency { DependencyResolveDetails details ->
  3. if (details.requested.group == 'org.apache.logging.log4j') {
  4. details.useVersion '2.15.0'
  5. }
  6. }
  7. }

上面三种方法无论你使用哪种,安全起见都需要使用下面的命令进行检查确认:

  1. /gradlew dependencyInsight --dependency log4j-core

漏洞演示

漏洞攻击的演示代码,我将在周一通过公众号文章进行详细讲解,请持续关注.

原文链接:https://mp.weixin.qq.com/s/j8A7_Cyu9NLqqWwQ4IMp7w 。

最后此篇关于Spring Boot 应对 Log4j2 注入漏洞官方指南的文章就讲到这里了,如果你想了解更多关于Spring Boot 应对 Log4j2 注入漏洞官方指南的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com