前段時間 Log4j接連爆漏洞的事兒相比把大家都折騰的不輕,很多開發都被連夜叫起來修複漏洞。這幾天終于平複一些了。
可是,昨晚,忽然看到技術群和朋友圈,有人開始聊Logback 又爆漏洞了。
這是什麼情況?難道又是遠端代碼調用這種重量級 bug 嗎?難道又要連夜修複了麼?
于是,第一時間到 Logback 官網去檢視了一下。果然有一條在12月22号更新的漏洞通告。
漏洞編号:CVE-2021-42550
通過官網描述,可以知道:
在 Logback 1.2.7及以下版本中,存在安全漏洞,攻擊者可以通過更改 logback 配置檔案添加惡意配置,進而可以執行 LDAP 伺服器上加載的任意代碼。
但是,為了避免恐慌,官方特意強調:
Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels.
說明了該漏洞和 Log4j的漏洞根本不是一個級别的!!!不必恐慌~
攻擊者想要利用這個漏洞,需要同時滿足一下三個條件:
1、具有修改 logback.xml 的權限
2、Logback 版本低于 1.2.9
3、重新開機應用或者是在攻擊之前将 scan 設為 "true"(scan="true")
官方建議大家,為了避免被攻擊,需要做以下事情:
1、将 Logback 更新到1.2.9 2、将logback配置檔案設定為隻讀
另外,如果大家的項目中使用了 SpringBoot的話,建議更新做一下防護,因為 SpringBoot 除了新釋出的2.6.2和2.5.8以外,都沒有更新到1.2.9。
建議使用舊版 SpringBoot 的朋友,在配置檔案中更新 Logback 的版本:
參考資料
https://logback.qos.ch/news.html
https://cve.report/CVE-2021-42550
<b>👈🏻掃描二維碼關注他!</b>
【Hollis】公衆号,每天早上8:30為您準時推送一篇技術文章
本站采用開放的[知識共享署名-非商業性使用-相同方式共享]進行許可。
本站歡迎各種形式的轉載。請轉載時務必保留文章的原始出處及原文中外鍊,并不要擅自更改連結内容,否則保留追究法律責任的權利。