Logback 也爆雷了
Log4j2 漏洞最新進展:
Log4j2 核彈級漏洞剛結束沒幾天,Logback 其實也爆雷了,這你能信??
棧長在上篇文章提到,因 Log4j2 漏洞的反覆無常,導致某些公司已經切換到 Logback 了,如果這也是你們公司的決定,請在文章下面評論區留言。
可令棧長萬萬想不到的是,在 Log4j2 漏洞修復期間,Logback 也出事了,我們來看官方的通告:
漏洞摘要
| CVE-2021-42550 | 遠程代碼執行漏洞 |
|---|---|
| 安全等級 | 中 |
| 影響版本 | logback < 1.2.9<br>logback < 1.3.0-alpha11 |
該漏洞影響了兩條版本線:
- Logback 1.2.x
- Logback 1.3.x
當然,生產主要還是以 1.2.x 爲主,1.3.x 尚未正式發佈,Alpha 表示早期的內部測試版本。
如果你想關注和學習最新、最主流的 Java 技術,可以持續關注公衆號Java技術棧,公衆號第一時間推送。
漏洞描述
在 Logback 1.2.7 及之前的版本中,具有編輯配置文件權限的攻擊者可以製作惡意配置,允許從 LDAP 服務器加載、執行任意代碼。
漏洞具體詳情可參考:
解決方案
Logback 升級到安全版本:
- Logback 1.2.9+
- Logback 1.3.0-alpha11+
修復內容:
1)強化 Logback 的 JNDI 查找機制,只接受 java: 命名空間中的請求,所有其他類型的請求都將被忽略。
2)SMTPAppender 也被加強了。
3)出於安全原因,暫時刪除了數據庫支持。
4)因 Groovy 配置過於強大,出於安全原因,刪除了對 Groovy 的配置支持,後面也不太可能恢復。
看來,JNDI 又闖禍了。。。
JDNI 這到底是什麼破玩意,有時間棧長再分享一篇,關注公衆號Java技術棧第一時間推送哦。
上篇文章《終於!Spring Boot 最新版發佈,一招解決 Log4j2 核彈級漏洞!》,Spring Boot 在最新版本中已經升級到了安全版本:Logback 1.2.9:
不過在 Logback v1.2.9 中還存在 bug:
目前最新版本:
- Logback 1.2.10
- Logback 1.3.0-alpha12
建議直接升級到最新版本,所以,沒有必要升級 Spring Boot 主版本,最好的解決方案是隻升級 Logback 版本即可。
Spring Boot 基礎就不介紹了,推薦下這個實戰教程(含示例源碼):
Spring Boot & Maven:
<properties>
...
<logback.version>1.2.10</logback.version>
</properties>
更新之後的 Logback 版本:
另外,官方還建議把 logback 日誌配置文件設置爲只讀,這樣就能徹底堵死配置文件被篡改所引發的漏洞。
在 12/14 ~ 12/23 這段時間,官方針對兩個版本線都進行了多次版本更新,以解決此漏洞,也是折騰啊。。
Logback 這個漏洞屬於中危級別,也少有報道,但該漏洞屬於遠程代碼執行,危害的後果也挺嚴重的,建議大家還是升級吧,防患未然!
話說你們用的什麼版本呢?趕緊檢查升級吧!
剛從 Log4j2 切換過來的小夥伴恐怕要哭笑不得了吧?如果說的就是你,請在下面評論區留言……
Log4j2 & Logback 漏洞的後續進展,棧長也會持續跟進,關注公衆號Java技術棧,公衆號第一時間推送。
版權聲明!!!
本文系公衆號 "Java技術棧" 原創,轉載、引用本文內容請註明出處,抄襲、洗稿一律投訴侵權,後果自負,並保留追究其法律責任的權利。
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2021最新版)
4.Spring Boot 2.6 正式發佈,一大波新特性。。
覺得不錯,別忘了隨手點贊+轉發哦!