Log4j2 消停了,Logback 开始塌房了?

云惠网小编 2021年12月26日05:17:42
评论
1025字阅读3分25秒
摘要

作者:程序猿DD博客:https://blog.didispace.com/logback-CVE-2021-42550/今天一早,还没起床,拿起手机赫然看到一个头条信息,标题着实让我心理咯噔了一下!马上起床,直奔官网(https://logback.qos.ch/news.html),看看到底什么问题?塌的有多厉害?既然是1.2.9版本以下问题,那就直接找到1.2.9版本修复了些啥,一看是12月16日发布的,已经有几天了,初步判断,应该问题不大吧?仔细看看这个版本主要修复的漏洞编号:CVE-2

广告也精彩

所以,2.6.x和2.5.x用户直接升级小版本就可以了。如果是之前的版本,那么就老办法,在properties里增加配置logback.version即可,比如下面这样:
Log4j2 消停了,Logback 开始塌房了?
另外,除了升级版本之外,官方还建议用户将logback的配置文件设置为只读权限。

既然是1.2.9版本以下问题,那就直接找到1.2.9版本修复了些啥,一看是12月16日发布的,已经有几天了,初步判断,应该问题不大吧?

作者:程序猿DD
博客:https://blog.didispace.com/logback-CVE-2021-42550/

因为DD这边Spring Boot用户比较多,顺手去看了一下Spring Boot版本与Logback的版本关系,除了刚发布不久的2.6.2和2.5.8用了1.2.9之外,之前的版本都在受影响范围之内。如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/spring-boot-learning-2x/

最后说一句,不要太慌,慢慢来,这个没有log4j2那么严重!

今天一早,还没起床,拿起手机赫然看到一个头条信息,标题着实让我心理咯噔了一下!
Log4j2 消停了,Logback 开始塌房了?
马上起床,直奔官网(https://logback.qos.ch/news.html),看看到底什么问题?塌的有多厉害?

为避免恐慌(毕竟这两周被log4j2折腾的不轻),官方新闻中也醒目提示:该漏洞与log4Shell是完全不同的严重级别,因为logback的这个漏洞有一个前提:攻击者得有写logback配置文件的权限才行!

我的公众号:程序猿DD,专注分享行业最新消息和前沿技术资讯,关注我第一时间积累最新前沿,积累技术人弯道超车的资本

看描述似乎挺严重?其实并没有想象的那么严重。从上图中的,其实也可以发现,该漏洞的严重程度只是MEDIUM级别。

仔细看看这个版本主要修复的漏洞编号:CVE-2021-42550

Log4j2 消停了,Logback 开始塌房了?
当然,如果您当心系统级别的安全做的比较粗糙,对应用的安全还是不放心,也可以选择升级logback的版本来加固该潜在问题的防御。

继续查了一下关于这个漏洞的信息如下:
Log4j2 消停了,Logback 开始塌房了?
该漏洞影响1.2.9以下的版本,攻击者可以通过编辑logback配置文件制作一个恶意的配置,允许执行从LDAP服务器加载的任意代码!

本文转自 https://blog.csdn.net/dyc87112/article/details/122122323

腾讯云618
云惠网小编
SpringCloud -- Config、Bus解析 java

SpringCloud — Config、Bus解析

1、Config1.1、概述简介1. 分布式面临的问题微服务意味着要将单体应用中的业务拆分成一个个子服务,每个服务的粒度相对较小,因此系统中会出现大量的服务。由于每个服务都需要必要...
Java数据结构-了解复杂度 java

Java数据结构-了解复杂度

2.实例分析与计算  四.写在最后  // 计算斐波那契递归fibonacci的时间复杂度 int fibonacci(int N) { return N < 2 ? N : fibonacci...
Java数据结构-认识顺序表 java

Java数据结构-认识顺序表

目录二.顺序表1.概念及结构2.顺序表的实现打印顺序表获取顺序表的有效长度在pos位置新增元素判断是否包含某个元素查找某个元素对应的位置获取/查找pos位置的元素给pos位置的元素...
腾讯云618

发表评论