logback漏洞继log4j2之后logback也发现了问题?
Posted gussu-毛虫
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了logback漏洞继log4j2之后logback也发现了问题?相关的知识,希望对你有一定的参考价值。
前两天因为log4j2的问题许多公司估计都通宵达旦的加班看版本改BUG了,但最近Logback也被发现相同问题。
logback漏洞说明
下面是一个漏洞检测机构搜集到的消息。
在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外,还有一个可用的探索。
CVE 摘要是:
在 logback 版本 1.2.7 和之前的版本中,具有编辑配置文件所需权限的攻击者可以制作恶意配置,允许执行从 LDAP 服务器加载的任意代码。
该漏洞被标识为CVE-2021-42550。CVE 的归属发生在 2021 年 10 月 15 日。攻击可以从网络发起。没有可用的技术细节。攻击的复杂性相当高。据说可利用性很困难。该漏洞并不为人所知。此外,还有一个可用的探索。该探索已向公众发布,可以使用。
英文
中文翻译
中文翻译
英文
github地址
这事一个触发logBack发生Bug的案例,里面有详细的漏洞分析,感兴趣的可以去看一看。
介绍:
该项目是SpringBoot编写的一个简单的漏洞Demo环境。在这里,我特意写了一个有任意文件上传的漏洞环境,然后利用loghack配置文件中的
scan
属性配合logback漏洞实现RCE。
想了解的点这里:传送门🐕🐕🐕🐕
总结
主要引起漏洞的原因和Log4j2相同,但是并没有像Log4j2那么的凶,因为这个漏洞不是百分百能触发的,需要特定的条件才可能出现安全问题。但是既然爆出来,还是防范于未然比较好。
触发条件:
- logback的配置文件可以修改或覆盖
- 能够使修改后的配置文件生效
主要影响的版本为:logback version < 1.2.9
和 logback version < 1.3.0-alpha11
以上是关于logback漏洞继log4j2之后logback也发现了问题?的主要内容,如果未能解决你的问题,请参考以下文章
漏洞复现Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)