Log4j一波未平,Logback 一波又起!再爆漏洞!!

背景

前些天Log4j的漏洞，不知多少程序被抓去加班，關(guān)鍵漏洞還是接連出現(xiàn)的，真是辛苦了程序員，也辛苦了Log4j的開(kāi)源作者。

為此，二師兄還專(zhuān)門(mén)寫(xiě)了一篇還原漏洞的文章【原文點(diǎn)這里】。竟然有朋友在評(píng)論區(qū)說(shuō)”就這么一個(gè)小漏洞，值得這么大肆的寫(xiě)嗎？“。看來(lái)那位朋友還沒(méi)意識(shí)到漏洞的嚴(yán)重性。

本來(lái)以為使用的是Logback能夠躲過(guò)一劫，沒(méi)想到，又看到朋友圈在討論Logback的爆出的新漏洞，嚇得趕緊看了一下項(xiàng)目中的版本。

漏洞詳情

為了了解一下是什么情況，先去官網(wǎng)（https://logback.qos.ch/news.html）看看。在官網(wǎng)的News中可以看到，在12月16日更新了1.2.9版本。

Logback漏洞

通過(guò)上面的News可以看出，12月16日更新了1.2.9版本，并在描述中提示受影響的版本是小于1.2.9版本。

官方為了避免恐慌，特意強(qiáng)調(diào)：” Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels. “

也就是說(shuō)，該漏洞與Log4j的漏洞根本不是一個(gè)級(jí)別的。所以，大家不必恐慌。

漏洞的被利用需要滿(mǎn)足三個(gè)條件：

• 擁有修改logback.xml的權(quán)限；
• Logback版本低于1.2.9版本；
• 重啟應(yīng)用或者在攻擊之前將scan設(shè)置為true。

點(diǎn)擊上面的漏洞（編號(hào)：CVE-2021-42550），看到最新修改日期是12月22日：

CVE-2021-42550

通過(guò)官網(wǎng)描述，可以知道：Logback 1.2.7（下面顯示為小于1.2.9）及以下版本中，存在安全漏洞，攻擊者可以通過(guò)更改 logback 配置文件添加惡意配置，從而可以執(zhí)行 LDAP 服務(wù)器上加載的任意代碼。

安全防護(hù)

看似挺嚴(yán)重的漏洞，但在上圖中描述漏洞的嚴(yán)重級(jí)別只有MEDIUM級(jí)，即中級(jí)。所以，不必過(guò)于恐慌，但如果有可能的話(huà)，還是選擇升級(jí)來(lái)確保系統(tǒng)的安全。

解決方案很簡(jiǎn)單：除了將Logback升級(jí)到1.2.9版本，官方還建議將Logback的配置文件設(shè)置為只讀。

如果你使用的是Spring Boot的項(xiàng)目，除了新發(fā)布的2.5.8和2.6.2以外，Logback還都未升級(jí)到1.2.9版本。建議在pom.xml文件中升級(jí)一下Logback的版本：

????1.8
????1.2.9

小結(jié)

Log4j的漏洞讓大家成了驚弓之鳥(niǎo)，但這次不必恐慌。軟件有漏洞存在是必然的客觀(guān)事實(shí)。發(fā)現(xiàn)漏洞，解決漏洞即可。但這些漏洞的發(fā)生給我們提了個(gè)醒兒：如何及時(shí)得知自己系統(tǒng)中所使用軟件是否存在漏洞？

如果你在思考上面的問(wèn)題，其實(shí)本篇文章已經(jīng)給你提示了一個(gè)解決途徑：有事沒(méi)事看看所使用框架的官網(wǎng)版本更新。而本文的基本思路就是：得知漏洞消息，查看官網(wǎng)，進(jìn)而得到漏洞信息及解決方案。其實(shí)，更進(jìn)一步，還可以看看代碼中前后版本都改了什么代碼，那你將收獲更多。

往期推薦

MySQL 性能優(yōu)化的 9 種姿勢(shì)，面試再也不怕了！

工作8年，我決定帶全家離開(kāi)上海

HttpClient使用不當(dāng)，服務(wù)掛了！是時(shí)候系統(tǒng)學(xué)習(xí)一下了

親身經(jīng)歷，大齡程序員找工作，為什么這么難！

CentOS 將于年底終止！Linux服務(wù)器該何去何從？

我在美團(tuán)的八年

---

如果你覺(jué)得這篇文章不錯(cuò)，那么，下篇通常會(huì)更好。添加微信好友，可備注“加群”（微信號(hào)：zhuan2quan）。

一篇文章就看透技術(shù)本質(zhì)的人，
? 和花一輩子都看不清的人，
? 注定是截然不同的搬磚生涯。▲?長(zhǎng)按關(guān)注”程序新視界“，洞察技術(shù)內(nèi)幕