前段時間 Log4j接連爆漏洞的事兒相比把大家都折騰的不輕,很多開發都被連夜叫起來修復漏洞。這幾天終於平復一些了。
可是,昨晚,忽然看到技術群和朋友圈,有人開始聊Logback 又爆漏洞了。
這是什么情況?難道又是遠程代碼調用這種重量級 bug 嗎?難道又要連夜修復了么?
於是,第一時間到 Logback 官網去查看了一下。果然有一條在12月22號更新的漏洞通告。
漏洞編號:CVE-2021-42550
通過官網描述,可以知道:
在 Logback 1.2.7及以下版本中,存在安全漏洞,攻擊者可以通過更改 logback 配置文件添加惡意配置,從而可以執行 LDAP 服務器上加載的任意代碼。
漏洞級別
但是,為了避免恐慌,官方特意強調:
Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels.
說明了該漏洞和 Log4j的漏洞根本不是一個級別的!!!不必恐慌~
攻擊者想要利用這個漏洞,需要同時滿足一下三個條件:
1、具有修改 logback.xml 的權限
2、Logback 版本低於 1.2.9
3、重啟應用或者是在攻擊之前將 scan 設為 "true"(scan="true")
安全防護
官方建議大家,為了避免被攻擊,需要做以下事情:
1、將 Logback 升級到1.2.9 2、將logback配置文件設置為只讀
另外,如果大家的項目中使用了 SpringBoot的話,建議升級做一下防護,因為 SpringBoot 除了新發布的2.6.2和2.5.8以外,都沒有升級到1.2.9。
建議使用舊版 SpringBoot 的朋友,在配置文件中升級 Logback 的版本:
<properties>
<logback.version>1.2.9</logback.version>
</properties>
參考資料