标签:严重 1.2 配置文件 Log4j2 漏洞 版本 logback 塌房 Logback
今天一早,还没起床,拿起手机赫然看到一个头条信息,标题着实让我心理咯噔了一下!
马上起床,直奔官网,看看到底什么问题?塌的有多厉害?
既然是1.2.9版本以下问题,那就直接找到1.2.9版本修复了些啥,一看是12月16日发布的,已经有几天了,初步判断,应该问题不大吧?
仔细看看这个版本主要修复的漏洞编号:CVE-2021-42550
继续查了一下关于这个漏洞的信息如下:
该漏洞影响1.2.9以下的版本,攻击者可以通过编辑logback配置文件制作一个恶意的配置,允许执行从LDAP服务器加载的任意代码!
看描述似乎挺严重?其实并没有想象的那么严重。从上图中的,其实也可以发现,该漏洞的严重程度只是MEDIUM级别。
为避免恐慌(毕竟这两周被log4j2折腾的不轻),官方新闻中也醒目提示:该漏洞与log4Shell是完全不同的严重级别,因为logback的这个漏洞有一个前提:攻击者得有写logback配置文件的权限才行!
当然,如果您当心系统级别的安全做的比较粗糙,对应用的安全还是不放心,也可以选择升级logback的版本来加固该潜在问题的防御。
所以,2.6.x和2.5.x用户直接升级小版本就可以了。如果是之前的版本,那么就老办法,在properties里增加配置logback.version即可,比如下面这样:
另外,除了升级版本之外,官方还建议用户将logback的配置文件设置为只读权限。
最后说一句,不要太慌,慢慢来,这个没有log4j2那么严重!
标签:严重,1.2,配置文件,Log4j2,漏洞,版本,logback,塌房,Logback 来源: https://blog.csdn.net/littlejava_/article/details/122125935
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。