# log4jAttack

**Repository Path**: zhouwei189/log4jAttack

## Basic Information

- **Project Name**: log4jAttack
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2021-12-12
- **Last Updated**: 2021-12-12

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# 加固建议

## 关于漏洞

首先：此漏洞并非简单的引入相关的jar就能触发，必须配合一下条件：

1：2.0<= log4j依赖版本 <2.15.0

2: 项目指定或者默认使用的是log4j日志框架

   注意：springboot 利用slf4j门面，底层默认通过logback实现，不存在该风险！


## 修复建议

为了避免部分开发人员二次开发或者自定义日志输出方式，保证绝对安全可通过显示声明log4j版本

```
   <dependencyManagement>
     <dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.15.0</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.15.0</version>
        </dependency>
     </dependencies>
   </dependencyManagement>
```