Log4j2 消停了，Logback 开始塌房了？

今天一早，还没起床，拿起手机赫然看到一个头条信息，标题着实让我心理咯噔了一下！

马上起床，直奔官网（https://logback.qos.ch/news.html），看看到底什么问题？塌的有多厉害？

既然是 1.2.9 版本以下问题，那就直接找到 1.2.9 版本修复了些啥，一看是 12 月 16 日发布的，已经有几天了，

初步判断，应该问题不大吧？

仔细看看这个版本主要修复的漏洞编号：CVE-2021-42550

继续查了一下关于这个漏洞的信息如下：

该漏洞影响 1.2.9 以下的版本，攻击者可以通过编辑 logback 配置文件制作一个恶意的配置，允许执行从 LDAP 服务器加载的任意代码！

看描述似乎挺严重？其实并没有想象的那么严重。从上图中的，其实也可以发现，该漏洞的严重程度只是 MEDIUM 级别。

为避免恐慌（毕竟这两周被 log4j2 折腾的不轻），官方新闻中也醒目提示：该漏洞与 log4Shell 是完全不同的严重级别，因为 logback 的这个漏洞有一个前提：攻击者得有写 logback 配置文件的权限才行！

当然，如果您当心系统级别的安全做的比较粗糙，对应用的安全还是不放心，也可以选择升级 logback 的版本来加固该潜在问题的防御。

因为 DD 这边 Spring Boot 用户比较多，顺手去看了一下 Spring Boot 版本与 Logback 的版本关系，除了刚发布不久的2.6.2和2.5.8用了 1.2.9 之外，之前的版本都在受影响范围之内。

所以，2.6.x 和 2.5.x 用户直接升级小版本就可以了。如果是之前的版本，那么就老办法，在 properties 里增加配置 logback.version 即可，比如下面这样：

另外，除了升级版本之外，官方还建议用户将 logback 的配置文件设置为只读权限。

最后说一句，不要太慌，慢慢来，这个没有 log4j2 那么严重！

好了，今天的分享就到这里！如果您学习过程中如遇困难？可以加入我们超高质量的Spring技术交流群，参与交流与讨论，更好的学习与进步！

我的公众号：程序猿 DD，专注分享行业最新消息和前沿技术资讯，关注我第一时间积累最新前沿，积累技术人弯道超车的资本