写点什么

Log4j2 消停了,Logback 开始塌房了?

作者:程序猿DD
  • 2021 年 12 月 24 日
  • 本文字数:771 字

    阅读完需:约 3 分钟

今天一早,还没起床,拿起手机赫然看到一个头条信息,标题着实让我心理咯噔了一下!



马上起床,直奔官网(https://logback.qos.ch/news.html),看看到底什么问题?塌的有多厉害?


既然是 1.2.9 版本以下问题,那就直接找到 1.2.9 版本修复了些啥,一看是 12 月 16 日发布的,已经有几天了,

初步判断,应该问题不大吧?


仔细看看这个版本主要修复的漏洞编号:CVE-2021-42550


继续查了一下关于这个漏洞的信息如下:



该漏洞影响 1.2.9 以下的版本,攻击者可以通过编辑 logback 配置文件制作一个恶意的配置,允许执行从 LDAP 服务器加载的任意代码!


看描述似乎挺严重?其实并没有想象的那么严重。从上图中的,其实也可以发现,该漏洞的严重程度只是 MEDIUM 级别。


为避免恐慌(毕竟这两周被 log4j2 折腾的不轻),官方新闻中也醒目提示:该漏洞与 log4Shell 是完全不同的严重级别,因为 logback 的这个漏洞有一个前提:攻击者得有写 logback 配置文件的权限才行!



当然,如果您当心系统级别的安全做的比较粗糙,对应用的安全还是不放心,也可以选择升级 logback 的版本来加固该潜在问题的防御。


因为 DD 这边 Spring Boot 用户比较多,顺手去看了一下 Spring Boot 版本与 Logback 的版本关系,除了刚发布不久的2.6.2和2.5.8用了 1.2.9 之外,之前的版本都在受影响范围之内。


所以,2.6.x 和 2.5.x 用户直接升级小版本就可以了。如果是之前的版本,那么就老办法,在 properties 里增加配置 logback.version 即可,比如下面这样:



另外,除了升级版本之外,官方还建议用户将 logback 的配置文件设置为只读权限


最后说一句,不要太慌,慢慢来,这个没有 log4j2 那么严重!


好了,今天的分享就到这里!如果您学习过程中如遇困难?可以加入我们超高质量的Spring技术交流群,参与交流与讨论,更好的学习与进步!


我的公众号:程序猿 DD,专注分享行业最新消息和前沿技术资讯,关注我第一时间积累最新前沿,积累技术人弯道超车的资本

发布于: 4 小时前
用户头像

程序猿DD

关注

公众号:程序猿DD 2018.02.28 加入

前某厂架构师/合伙人,现自由程序员,写过一本小册子《Spring Cloud微服务实战》,未来想种好一亩田,所以现在朝一亩地努力。

评论

发布
暂无评论
Log4j2 消停了,Logback 开始塌房了?