spring-boot日誌框架漏洞修復
阿新 • • 發佈:2022-05-11
spring-boot日誌框架漏洞修復
版本問題
低於2.6.2的版本都存在log4j注入漏洞
方案一Log4j2
排除spring-boot-starter中的預設logging依賴
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-logging</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> <version>2.6.2</version> </dependency>
log4j2.xml
<?xml version="1.0" encoding="UTF-8"?> <!--Configuration後面的status,這個用於設定log4j2自身內部的資訊輸出,可以不設定,當設定成trace時,你會看到log4j2內部各種詳細輸出--> <!--monitorInterval:Log4j能夠自動檢測修改配置 檔案和重新配置本身,設定間隔秒數--> <Configuration status="WARN" monitorInterval="60"> <!--日誌級別以及優先順序排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL --> <Properties> <Property name="App">third-api</Property> <Property name="logDir">/home/migu/portal-third-api/logs</Property> <Property name="splitSize">100 MB</Property> </Properties> <Appenders> <!-- 輸出控制檯日誌的配置 --> <Console name="console" target="SYSTEM_OUT"> <!--控制檯只輸出level及以上級別的資訊(onMatch),其他的直接拒絕(onMismatch)--> <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/> <!-- 輸出日誌的格式 --> <!-- 格式化輸出:%date表示日期,%thread表示執行緒名,%-5level:級別從左顯示5個字元寬度 %msg:日誌訊息,%n是換行符--> <!-- %logger{36} 表示 Logger 名字最長36個字元 --> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n"/> </Console> <!-- 打印出所有的資訊,每次大小超過size,則這size大小的日誌會自動存入按年份-月份建立的資料夾下面並進行壓縮,作為存檔 --> <RollingFile name="infoLog" fileName="${logDir}/${App}-info.log" filePattern="${logDir}/${App}-info-%d{yyyy-MM-dd}-%i.log.gz"> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS z} [%thread] %-5level %logger{36} %L %M - %msg%xEx%n"/> <Policies> <!--interval屬性用來指定多久滾動一次,預設是1, 單位到底是月 天 小時 分鐘,根據filePattern配置的日期格式而定,本處的格式為天,則預設為1天--> <TimeBasedTriggeringPolicy interval="1" modulate="true"/> <!--按大小分--> <SizeBasedTriggeringPolicy size="${splitSize}"/> </Policies> <Filters> <!-- 只記錄info和warn級別資訊 --> <!--<ThresholdFilter level="error" onMatch="DENY" onMismatch="NEUTRAL"/>--> <ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/> </Filters> <!-- 指定每天的最大壓縮包個數,預設7個,超過了會覆蓋之前的 --> <DefaultRolloverStrategy max="1000"/> </RollingFile> <!-- 儲存所有error資訊 --> <RollingFile name="errorLog" fileName="${logDir}/${App}-error.log" filePattern="${logDir}/${App}-error-%d{yyyy-MM-dd}-%i.log.gz"> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS z} [%thread] %-5level %logger{36} %L %M - %msg%xEx%n"/> <Policies> <!--interval屬性用來指定多久滾動一次,預設是1, 單位到底是月 天 小時 分鐘,根據filePattern配置的日期格式而定,本處的格式為天,則預設為1天--> <TimeBasedTriggeringPolicy interval="1" modulate="true"/> <!--按大小分--> <SizeBasedTriggeringPolicy size="${splitSize}"/> </Policies> <Filters> <!-- 只記錄error級別資訊 --> <ThresholdFilter level="error" onMatch="ACCEPT" onMismatch="DENY"/> </Filters> <!-- 指定每天的最大壓縮包個數,預設7個,超過了會覆蓋之前的 --> <DefaultRolloverStrategy max="1000"/> </RollingFile> </Appenders> <Loggers> <!-- root logger 配置,全域性配置,預設所有的Logger都繼承此配置 --> <!-- AsyncRoot - 非同步記錄日誌 - 需要LMAX Disruptor的支援 --> <Root level="info"> <AppenderRef ref="console"/> </Root> <!--第三方的軟體日誌級別 --> <logger name="org.springframework" level="info" additivity="true"> </logger> </Loggers> </Configuration>
logback-spring.xml
<?xml version="1.0" encoding="UTF-8"?> <configuration scan="true" scanPeriod="10 seconds"> <contextName>logback</contextName> <!-- 彩色日誌依賴的渲染類 --> <conversionRule conversionWord="clr" converterClass="org.springframework.boot.logging.logback.ColorConverter"/> <conversionRule conversionWord="wex" converterClass="org.springframework.boot.logging.logback.WhitespaceThrowableProxyConverter"/> <conversionRule conversionWord="wEx" converterClass="org.springframework.boot.logging.logback.ExtendedWhitespaceThrowableProxyConverter"/> <!-- 彩色日誌格式 --> <property name="CONSOLE_LOG_PATTERN" value="%magenta(%d{yyyy-MM-dd HH:mm:ss}) %highlight(%-5level) %boldCyan(${springAppName:-}) %yellow(%thread) %green(%logger) %yellow(%M) %magenta(%L) %msg%n"/> <property name="LOG_PATTERN" value="%d{yyyy-MM-dd HH:mm:ss} %-5level ${springAppName:-} %thread %logger %M %L %msg%n"/> <!--輸出到控制檯--> <appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender"> <!--此日誌appender是為開發使用,只配置最底級別,控制檯輸出的日誌級別是大於或等於此級別的日誌資訊--> <filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>debug</level> </filter> <encoder> <pattern>${CONSOLE_LOG_PATTERN}</pattern> <charset>UTF-8</charset> </encoder> </appender> <!--開發/測試環境:列印控制檯--> <springProfile name="uat"> <!--指定某些模組的日誌級別--> <logger name="com.code.generator" level="warn"/> <root level="warn"> <appender-ref ref="CONSOLE"/> </root> </springProfile> <!--開發:列印控制檯--> <springProfile name="dev"> <logger name="com.code.generator" level="debug"/> <root level="debug"> <appender-ref ref="CONSOLE"/> </root> </springProfile> <!--生產環境:輸出到檔案--> <springProfile name="prd"> <logger name="com.code.generator" level="error"/> <root level="error"> <appender-ref ref="CONSOLE"/> </root> </springProfile> </configuration>
方案二
<log4j2.version>2.17.2</log4j2.version>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
<exclusions>
<exclusion>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-logging</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-log4j2</artifactId>
<exclusions>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
</exclusion>
<exclusion>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-jul</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-slf4j-impl</artifactId>
<version>${log4j2.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>${log4j2.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>${log4j2.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-jul</artifactId>
<version>${log4j2.version}</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-to-slf4j</artifactId>
<version>${log4j2.version}</version>
</dependency>
logging升級
待更新。。。