社区编辑申请
注册/登录
Spring Boot 应对 Log4j2 注入漏洞官方指南
开发 架构
Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。

 Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。

默认配置不受影响

Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-starter-logging不能独立利用。只有log4j-core在日志消息中使用和包含用户输入的应用程序容易受到攻击。

也就是说Spring Boot现在包含Log4J2的依赖只要你不启用是不会触发漏洞的。

下版本更新补丁

Spring Boot将在2021 年 12 月 23 日后发布的 2.5.8 和 2.6.2 版本将采用打了补丁的Log4J v2.15.0,但由于这是一个极其严重的漏洞,一定要覆盖我们的依赖项管理并尽快升级您的 Log4J2 依赖项。

Maven用户

对于 Maven 用户,您可以通过覆盖自己项目中pom.xml的版本号配置属性来修改该依赖的版本号。提升Log4J2到安全版本只需要:

  1. <properties> 
  2.     <log4j2.version>2.15.0</log4j2.version> 
  3. </properties> 

然后使用./mvnw dependency:list | grep log4j命令运行以检查版本是否为 2.15.0。

Gradle用户

对于大多数用户来说,设置log4j2.version属性就足够了:

  1. ext['log4j2.version'] = '2.15.0' 

如果你的Gradle并没有直接对Spring Boot进行依赖管理,你可以添加Log4J BOM依赖项:

  1. implementation(platform("org.apache.logging.log4j:log4j-bom:2.15.0")) 

“万金油”的方法是声明一个Gradle的resolutionStrategy:

  1. configurations.all { 
  2.  resolutionStrategy.eachDependency { DependencyResolveDetails details -> 
  3.   if (details.requested.group == 'org.apache.logging.log4j') { 
  4.    details.useVersion '2.15.0' 
  5.   } 
  6.  } 

上面三种方法无论你使用哪种,安全起见都需要使用下面的命令进行检查确认:

  1. /gradlew dependencyInsight --dependency log4j-core 

漏洞演示

漏洞攻击的演示代码,我将在周一通过公众号文章进行详细讲解,请持续关注。

责任编辑:武晓燕 来源: 码农小胖哥
相关推荐

2022-04-28 08:05:05

2022-03-18 09:00:00

开发Web服务应用程序

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-16 15:35:00

漏洞黑客

2022-04-30 08:43:52

Spring模块化框架

2022-03-30 09:09:39

漏洞网络安全网络攻击

2022-04-28 09:46:20

Nginx文件Linux

2022-05-16 13:34:35

漏洞SonicWall攻击者

2022-04-26 08:41:54

JDK动态代理方法

2022-04-09 11:53:52

供应链攻击

2022-03-07 10:26:25

开源springboot项目

2022-05-16 08:33:54

漏洞微软安全补丁

2022-04-20 22:04:58

物联网安全勒索软件网络攻击

2022-03-23 12:45:12

JWT登录认证

2022-04-11 07:34:46

OAuth2UAA节点

2022-04-07 18:51:29

VMware漏洞网络攻击

2022-05-08 20:48:34

Exchange版本漏洞

2022-01-17 07:22:11

Web应用渗透

2022-04-13 08:00:00

Hilla开发Java

2022-01-04 19:15:33

同话题下的热门内容

解决微服务架构下流量有损问题的实践和探索软件开发生命周期(SDLC)完全指南如何在C#语言中实施架构规则Spring Boot服务监控(Prometheus)Spring Boot 整合多数据源,这才叫优雅链路追踪:核心原理与解决方案面试官:RocketMQ 的推模式和拉模式有什么区别?详解多线程与Spring事务

编辑推荐

终于有人把Elasticsearch原理讲透了!花了一个星期,我终于把RPC框架整明白了!拜托!面试不要再问我Spring Cloud底层原理陌陌基于K8s和Docker容器管理平台的架构实践收藏 | 第一次有人把“分布式事务”讲的这么简单明了
我收藏的内容
点赞
收藏

51CTO技术栈公众号