刚折腾完 Log4j2,Logback 又爆漏洞了!
The following article is from 鸭哥聊Java Author 鸭哥
最近这漏洞真的是没完没了了,前阵子 Log4j2 接连爆出漏洞就已经把大家折腾得不轻了。
昨晚上我看技术群消息的时候,看到群友在聊 Logback 又爆漏洞了。当时我就震惊了,立马打开 Logback 官网查看具体信息,果然!
安全漏洞:CVE-2021-42550
漏洞详细:攻击者通过更改 logback 配置文件添加恶意配置,从而可以执行 LDAP 服务器上加载的任意代码。
安全等级:中级
影响版本:1.2.9 以下版本
执行漏洞需要完全满足以下条件:
具有编写 logback.xml 的权限
Logback 版本低于 1.2.9
执行恶意代码的前提:重启应用或者是在攻击之前将 scan 设为 "true"(scan="true")
防护方案
临时解决方案:
将 Logback 配置文件设置为只读。
正式解决方案:
将 Logback 升级至 1.2.9 版本。
<properties>
<logback.version>1.2.9</logback.version>
</properties>
总结
如果你是 Spring Boot 的用户,那么我建议赶紧升级防护一下。因为除了Spring Boot 新发布的 2.6.2、2.5.8版本使用了1.2.9之外,之前的版本都在受影响范围之内。
这个漏洞其实已经公布好几天了,幸运的是漏洞执行条件比较高,给大家带来的影响不大,大家不用慌哈!
相关链接
Logback News:https://logback.qos.ch/news.html
CVE.report:https://cve.report/CVE-2021-42550
GitHub:https://github.com/spring-projects/spring-boot/issues/29012
有不少同学问我,大厂面试官到底喜欢问什么?想进大厂镀金。因此,我特意邀请了华为、腾讯、阿里的朋友进群,与大家一起交流经验,增长技术。
有兴趣入群的同学,可长按扫描下方二维码,一定要备注:城市+昵称+技术方向,根据格式备注,可更快被通过且邀请进群。
▲长按扫描
点个在看你最好看