Log4j未平，Logback 又起！再爆漏洞！！

Posted 2022-01-15 Hollis Chuang

前段时间 Log4j接连爆漏洞的事儿相比把大家都折腾的不轻，很多开发都被连夜叫起来修复漏洞。这几天终于平复一些了。

可是，昨晚，忽然看到技术群和朋友圈，有人开始聊Logback 又爆漏洞了。

这是什么情况？难道又是远程代码调用这种重量级 bug 吗？难道又要连夜修复了么？

于是，第一时间到 Logback 官网去查看了一下。果然有一条在12月22号更新的漏洞通告。

漏洞编号：CVE-2021-42550

通过官网描述，可以知道：

在 Logback 1.2.7及以下版本中，存在安全漏洞，攻击者可以通过更改 logback 配置文件添加恶意配置，从而可以执行 LDAP 服务器上加载的任意代码。

漏洞级别

但是，为了避免恐慌，官方特意强调：

Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels.

说明了该漏洞和 Log4j的漏洞根本不是一个级别的！！！不必恐慌~

攻击者想要利用这个漏洞，需要同时满足一下三个条件：

1、具有修改 logback.xml 的权限

2、Logback 版本低于 1.2.9

3、重启应用或者是在攻击之前将 scan 设为 "true"(scan="true")

安全防护

官方建议大家，为了避免被攻击，需要做以下事情：

1、将 Logback 升级到1.2.9 

2、将logback配置文件设置为只读

另外，如果大家的项目中使用了 SpringBoot的话，建议升级做一下防护，因为 SpringBoot 除了新发布的2.6.2和2.5.8以外，都没有升级到1.2.9。

建议使用旧版 SpringBoot 的朋友，在配置文件中升级 Logback 的版本：

<properties>
  <logback.version>1.2.9</logback.version>
</properties>

参考资料

https://logback.qos.ch/news.html

https://cve.report/CVE-2021-42550

技术交流群

最近有很多人问，有没有读者交流群，想知道怎么加入。

最近我创建了一些群，大家可以加入。交流群都是免费的，只需要大家加入之后不要随便发广告，多多交流技术就好了。

目前创建了多个交流群，全国交流群、北上广杭深等各地区交流群、面试交流群、资源共享群等。

有兴趣入群的同学，可长按扫描下方二维码，一定要备注：全国 Or 城市 Or 面试 Or 资源，根据格式备注，可更快被通过且邀请进群。

▲长按扫描

往期推荐

崩溃的一天，西安一码通崩溃背后的技术问题。

最近，我和隐私计算干上了。

Log4j2维护者吐槽没工资还要挨骂，GO安全负责人建议开源作者向公司收费

如果你喜欢本文,

请长按二维码，关注 Hollis.

转发至朋友圈，是对我最大的支持。

点个 在看 

喜欢是一种感觉

在看是一种支持

↘↘↘