阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Spring Boot 应对 Log4j2 注入漏洞指南

87次阅读
没有评论

共计 1234 个字符,预计需要花费 4 分钟才能阅读完成。

导读 Log4J2 漏洞涉及的影响太广了,昨天发文后很多粉丝留言问 Spring Boot 项目是否受到 Log4J2 漏洞影响。Spring 官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。
默认配置不受影响

Spring Boot 默认日志组件是 logback,开发者通过日志门面 Slf4j 进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot 包含的 log4j-to-slf4j 和 log4j-api、spring-boot-starter-logging 不能独立利用。只有 log4j-core 在日志消息中使用和包含用户输入的应用程序容易受到攻击。

也就是说 Spring Boot 现在包含 Log4J2 的依赖只要你不启用是不会触发漏洞的。

Spring Boot 应对 Log4j2 注入漏洞指南

下版本更新补丁

Spring Boot 将在 2021 年 12 月 23 日后发布的 2.5.8 和 2.6.2 版本将采用打了补丁的 Log4J v2.15.0,但由于这是一个极其严重的漏洞,一定要覆盖我们的依赖项管理并尽快升级您的 Log4J2 依赖项。

Maven 用户

对于 Maven 用户,您可以通过覆盖自己项目中 pom.xml 的版本号配置属性来修改该依赖的版本号。提升 Log4J2 到安全版本只需要:

<properties> 
       <log4j2.version>2.15.0</log4j2.version> 
   </properties> 

然后使用./mvnw dependency:list | grep log4j 命令运行以检查版本是否为 2.15.0。

Gradle 用户

对于大多数用户来说,设置 log4j2.version 属性就足够了:

ext['log4j2.version'] = '2.15.0'

如果你的 Gradle 并没有直接对 Spring Boot 进行依赖管理,你可以添加 Log4J BOM 依赖项:

implementation(platform("org.apache.logging.log4j:log4j-bom:2.15.0"))

“万金油”的方法是声明一个 Gradle 的 resolutionStrategy:

configurations.all { 
 resolutionStrategy.eachDependency { DependencyResolveDetails details -> 
  if (details.requested.group == 'org.apache.logging.log4j') {details.useVersion '2.15.0'} 
 } 
}

上面三种方法无论你使用哪种,安全起见都需要使用下面的命令进行检查确认:

/gradlew dependencyInsight --dependency log4j-core
漏洞演示

漏洞攻击的演示代码,我将在周一通过公众号文章进行详细讲解,请持续关注。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计1234字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中