2022-10-10 分類: 網(wǎng)站建設(shè)
前些天Log4j的漏洞,不知多少程序被抓去加班,關(guān)鍵漏洞還是接連出現(xiàn)的,真是辛苦了程序員,也辛苦了Log4j的開源作者。
為此,二師兄還專門寫了一篇還原漏洞的文章【原文點這里】。竟然有朋友在評論區(qū)說”就這么一個小漏洞,值得這么大肆的寫嗎?“??磥砟俏慌笥堰€沒意識到漏洞的嚴重性。
本來以為使用的是Logback能夠躲過一劫,沒想到,又看到朋友圈在討論Logback的爆出的新漏洞,嚇得趕緊看了一下項目中的版本。
漏洞詳情為了了解一下是什么情況,先去官網(wǎng)(https://logback.qos.ch/news.html)看看。在官網(wǎng)的News中可以看到,在12月16日更新了1.2.9版本。
Logback漏洞
通過上面的News可以看出,12月16日更新了1.2.9版本,并在描述中提示受影響的版本是小于1.2.9版本。
官方為了避免恐慌,特意強調(diào):” Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels. “
也就是說,該漏洞與Log4j的漏洞根本不是一個級別的。所以,大家不必恐慌。
漏洞的被利用需要滿足三個條件: 擁有修改logback.xml的權(quán)限; Logback版本低于1.2.9版本;重啟應(yīng)用或者在攻擊之前將scan設(shè)置為true。
點擊上面的漏洞(編號:CVE-2021-42550),看到最新修改日期是12月22日:
CVE-2021-42550
通過官網(wǎng)描述,可以知道:Logback 1.2.7(下面顯示為小于1.2.9)及以下版本中,存在安全漏洞,攻擊者可以通過更改 logback 配置文件添加惡意配置,從而可以執(zhí)行 LDAP 服務(wù)器上加載的任意代碼。
安全防護看似挺嚴重的漏洞,但在上圖中描述漏洞的嚴重級別只有MEDIUM級,即中級。所以,不必過于恐慌,但如果有可能的話,還是選擇升級來確保系統(tǒng)的安全。
解決方案很簡單:除了將Logback升級到1.2.9版本,官方還建議將Logback的配置文件設(shè)置為只讀。
如果你使用的是Spring Boot的項目,除了新發(fā)布的2.5.8和2.6.2以外,Logback還都未升級到1.2.9版本。建議在pom.xml文件中升級一下Logback的版本:
1.8 1.2.9 小結(jié)Log4j的漏洞讓大家成了驚弓之鳥,但這次不必恐慌。軟件有漏洞存在是必然的客觀事實。發(fā)現(xiàn)漏洞,解決漏洞即可。但這些漏洞的發(fā)生給我們提了個醒兒:如何及時得知自己系統(tǒng)中所使用軟件是否存在漏洞?
如果你在思考上面的問題,其實本篇文章已經(jīng)給你提示了一個解決途徑:有事沒事看看所使用框架的官網(wǎng)版本更新。而本文的基本思路就是:得知漏洞消息,查看官網(wǎng),進而得到漏洞信息及解決方案。其實,更進一步,還可以看看代碼中前后版本都改了什么代碼,那你將收獲更多。
文章題目:Log4j一波未平,Logback一波又起!再爆漏洞!!
地址分享:http://jinyejixie.com/news/204151.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供標簽優(yōu)化、關(guān)鍵詞優(yōu)化、微信公眾號、軟件開發(fā)、網(wǎng)站排名、網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容