前段時間 Log4j接連爆漏洞的事兒相比把大家都折騰的不輕,很多開發都被連夜叫起來修復漏洞,這幾天終于平復一些了,
可是,昨晚,忽然看到技術群和朋友圈,有人開始聊Logback 又爆漏洞了,
這是什么情況?難道又是遠程代碼呼叫這種重量級 bug 嗎?難道又要連夜修復了么?
于是,第一時間到 Logback 官網去查看了一下,果然有一條在12月22號更新的漏洞通告,
漏洞編號:CVE-2021-42550
通過官網描述,可以知道:
在 Logback 1.2.7及以下版本中,存在安全漏洞,攻擊者可以通過更改 logback 組態檔添加惡意配置,從而可以執行 LDAP 服務器上加載的任意代碼,
漏洞級別
但是,為了避免恐慌,官方特意強調:
Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels.
說明了該漏洞和 Log4j的漏洞根本不是一個級別的!!!不必恐慌~
攻擊者想要利用這個漏洞,需要同時滿足一下三個條件:
1、具有修改 logback.xml 的權限
2、Logback 版本低于 1.2.9
3、重啟應用或者是在攻擊之前將 scan 設為 "true"(scan="true")
安全防護
官方建議大家,為了避免被攻擊,需要做以下事情:
1、將 Logback 升級到1.2.9
2、將logback組態檔設定為只讀
另外,如果大家的專案中使用了 SpringBoot的話,建議升級做一下防護,因為 SpringBoot 除了新發布的2.6.2和2.5.8以外,都沒有升級到1.2.9,
建議使用舊版 SpringBoot 的朋友,在組態檔中升級 Logback 的版本:
<properties>
<logback.version>1.2.9</logback.version>
</properties>參考資料
https://logback.qos.ch/news.html
https://cve.report/CVE-2021-42550
技術交流群
最近有很多人問,有沒有讀者交流群,想知道怎么加入,
最近我創建了一些群,大家可以加入,交流群都是免費的,只需要大家加入之后不要隨便發廣告,多多交流技術就好了,
目前創建了多個交流群,全國交流群、北上廣杭深等各地區交流群、面試交流群、資源共享群等,
有興趣入群的同學,可長按掃描下方二維碼,一定要備注:全國 Or 城市 Or 面試 Or 資源,根據格式備注,可更快被通過且邀請進群,
▲長按掃描
往期推薦
崩潰的一天,西安一碼通崩潰背后的技術問題,
最近,我和隱私計算干上了,
Log4j2維護者吐槽沒工資還要挨罵,GO安全負責人建議開源作者向公司收費
如果你喜歡本文,
請長按二維碼,關注 Hollis.
轉發至朋友圈,是對我最大的支持,
點個 在看
喜歡是一種感覺
在看是一種支持
↘↘↘
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/395040.html
標籤:其他
下一篇:【C語言初級】最簡單的99乘法表