log4j升级之路

最新推荐文章于 2024-11-01 11:19:07 发布
最新推荐文章于 2024-11-01 11:19:07 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 大数据相关框架 bug 集群搭建 文章标签: apache log4j2 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42796403/article/details/121913768
本文讲述了Java程序员如何应对log4j安全漏洞,从临时修改jvm参数和配置到升级至Apache Log4j 1.15稳定版,重点关注受影响的组件如Apache Flink和Elasticsearch等的升级路径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

log4j升级之路

10.10 阿里公开log4j漏洞详细细节,apache下大部分项目受到影响,java程序员开启梦幻般的升级log4j的加班之旅。

初始升级方案

  • 修改jvm参数:
    Dlog4j2.formatMsgNoLookups=true
  • 修改配置:
    log4j2.formatMsgNoLookups=True
    将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为 true

只能一定程度缓解,仍存在被绕过的风险。

升级版方案

10.11 日apache上线log4j 1.15稳定版,开启升级受影响组件log4j 包之旅。
下载地址:
https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/2.15.0

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api/2.15.0

目前已测试可以直接更换升级log4j组件有:

  • Apache Flink
  • Apache Nifi
  • Eletic Search
log4j 升级方案 Java
CyberNerdX的博客
09-13 656
log4j是Java中一个流行的日志记录框架,然而,随着时间的推移,log4j的版本可能会陈旧,并且可能存在安全漏洞和性能问题。因此,升级log4j版本是一个重要的任务,以确保应用程序的稳定性和安全性。如果项目使用的是Maven或Gradle等构建工具,可以通过修改项目的依赖配置文件来更新log4j版本。根据新版本的文档,检查配置文件中是否有新的配置选项或更改了现有配置的语法。根据项目需求,进行相应的修改。因此,在升级log4j版本后,需要检查代码中使用log4j的部分,并进行相应的调整。
Java 中 log4jLog4j 的版本升级注意事项
最新发布
AI开发架构师
07-05 984
本文旨在为 Java 开发者提供从 log4j 1.x 升级Log4j 2.x 的全面指南。log4j 1.x 和 2.x 的核心架构差异升级的技术挑战和解决方案安全漏洞的历史和修复方案实际迁移步骤和代码示例性能优化和最佳实践文章首先介绍 log4j 的发展历史和版本差异,然后深入探讨升级的技术细节。我们将通过代码示例展示具体迁移步骤,分析常见问题解决方案,最后讨论未来发展趋势。log4j 1.x: Apache 最初的日志框架实现,发布于2001年Log4j 2.x。
日志框架log4j升级log4j2
热门推荐
沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。 热爱AI,希望做出有影响力的技术成果。 技术点亮生活,分享连接价值与机会。 专注AI落地实战,陪你走好技术每一步。
06-28 5万+
大家好,我是默语,擅长全栈开发、运维和人工智能技术。在这篇博客中,我将详细介绍如何将日志框架从Log4j升级Log4j2,确保在项目中实现更高效、更安全的日志管理。关键词:Log4j2升级、日志框架、Java日志、SLF4J、Log4j2配置。升级步骤具体操作删除Log4j核心包注释Log4j依赖,并排除第三方包引入的Log4j引入Log4j2和SLF4J桥接包添加Log4j2核心包和SLF4J与Log4j2的桥接包修改日志打印代码使用SLF4J的LoggerFactory进行日志打印。
elasticsearch源码层面升级log4j版本
qq_24186017的博客
12-14 2141
1.摘要 Apache 安全团队发布了针对影响 Apache Log4j2 的 CVE-2021-44228 的安全公告。 2.症状 恶意用户可以利用此漏洞以运行受影响软件的用户或服务帐户身份运行任意代码。使用 log4j 版本 2.0 到 2.14.1 的软件产品受到影响,而 log4j 1.x 不受影响。 3.elasticsearch log4j版本 2.11.1 4.修改es源码,提高log4j版本 适用版本elasticsearch 6.6.1 在buildSrc模块下,versi.
Struts2版本2.3.*升级2.5.10.1用到的log4j的包(含log4j-1.2-api-2.7)
07-24
struts2.5.10.1 使用的是log4j2 所以需要导入log4j-api-2.7log4j-core-2.7 这两个jar包 并且为了从log4j 平稳的过度到log4j2导入log4j-1.2-api-2.7 jar(避免修改代码)
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
Java基础学习总结(178)——时候替换你的logback/log4j1了,使用性能更强大配置更简单的log4j2
科技D人生
04-08 620
Log4j2简介 Apache Log4j 2Log4j(1) 的升级版,比它的祖先 Log4j 1. x 有了很大的改进,和logback对比有很大的改进。除了内部设计的调整外,主要有以下几点的大升级: 更简化的配置 更强大的参数格式化 最夸张的异步性能 Log4j 2中,分为**API(log4j-api)和实现(log4j-core)**两个模块。API 和slf4j 是一个类型,属于日志抽象/门面,而实现部分,才是Log4j 2的核心。 org.apache.logging.log4j
log4j版本升级
qq_41525524的博客
07-21 750
【代码】log4j版本升级
log4j-2.17升级版本包
07-22
log4j-2.17升级版本包,包括log4j-1.2-api-2.17.1.jar、log4j-api-2.17.1.jar、log4j-core-2.17.1.jar、log4j-slf4j-impl-2.17.1.jar、log4j-web-2.17.1.jar
Strtus2.3升级2.5(包含log4j升级log4j2)所需jar,和相关资料
04-28
Log4j升级Log4j2,可以享受到更高效的日志处理、异步日志记录、动态配置以及支持JSON和XML等格式的日志输出。 在Struts2.3到Struts2.5的升级中,首先需要确保所有依赖的jar文件都与新版本兼容。这包括Struts2...
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j2升级2.15和2.16
12-14
标题提到的"Log4j2升级2.15和2.16"主要关注的是Log4j2框架的安全更新,尤其是针对CVE-2021-44228(Apache Log4j2 JNDI注入漏洞)的修复。 描述中的内容虽然简洁,但暗示了这次升级的主要目的是解决安全问题。Log4...
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
对于使用Log4j2的若依框架或者其他任何依赖Log4j2的项目,升级2.16.0或更高版本是至关重要的,因为不进行更新可能会使系统暴露在严重的安全风险之下。 在描述中,“若依框架”是一个基于Spring Boot的开源企业级...
Log4J,在踩坑中升级版本
sunpy
09-17 8638
转载自  http://www.cnblogs.com/flystar32/p/6751895.html 基本概念 Commons-logging apache最早提供的日志的门面接口。避免和具体的日志方案(log4j、logback等)直接耦合。类似于JDBC的api接口,具体的的JDBC driver实现由各数据库提供商实现。JCL的思想也是想通过统一接口解耦,将日志方案的实
log4j1完美升级log4j2
m0_61419412的博客
11-01 897
Log4j 1.x 在高并发情况下出现死锁导致cpu使用率异常飙升,而Log4j2.0基于LMAX Disruptor的异步日志在多线程环境下性能会远远优于Log4j 1.x和logback。2、增加log4j2.x的三个jar包:log4j-api-2.20.1.jar和log4j-core-2.20.1.jar和一个中间桥接包log4j-1.2-api-2.20.1.jar;1、移除项目中的所有log4j的依赖包以及log4j的配置文件;一定要去除log4j的所有依赖包;
Log4j 漏洞,用lombok的Slf4j没有影响
miaohancheng的博客
12-15 1万+
漏洞描述 Apache Log4j2 是一款优秀的 Java 日志框架。2021 年 11 月 24 日,阿里云安全团队向 Apache 官方告了 Apache Log4j2 远程代码执行漏洞。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 由于 Log4j2 作为日志记录基础第三方库,被大量 Java 框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量
Log4J的简单实用
cxy_0330的博客
03-27 548
一、依赖 <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId&gt...
log4j升级log4j2(无需修改代码)
qq_37282260的博客
03-05 1765
1.Tomcat\webapps\wcm\WEB-INF\lib目录下删除有关log4j的jar包 log4j-1.2.8.jar、slf4j-api-1.5.6.jar(版本有所不同,通过jar包开头确定log4j jar包) 2.Tomcat\webapps\wcm\WEB-INF\lib目录下添加log4j2相关jar包 log4j-api-2.13.0.jar、log4j-1....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值