今天一大早,还没睡醒,拿起手机,看到一条头条信息。标题真的让我不寒而栗!立马起床,直奔官网,看看是什么问题?崩溃到什么程度呢?既然是1.2.9以下版本的问题,那就直接找1.2.9版本修复了什么。12月16日发布,已经有几天了。初步判断,应该问题不大吧?仔细查看该版本主要修复的漏洞编号:CVE??-2021-42550继续查看该漏洞信息如下:该漏洞影响1.2.9以下版本,攻击者可以通过编辑logback配置文件,允许执行从LDAP服务器加载的任意代码!看描述好像很严重?其实并没有想象中那么严重。从上图实际上可以发现,该漏洞的严重程度仅为MEDIUM级别。为了避免恐慌(毕竟这两周log4j2一直在苦苦折腾),官方消息还突出提示这个漏洞和log4Shell的严重级别完全不同,因为logback的这个漏洞有一个前提:攻击者必须编写logback配置文件权限才行!当然,如果你担心系统级安全性比较粗糙,还是担心应用程序的安全性,你也可以选择升级logback的版本来加强对这个潜在问题的防御。因为DD上SpringBoot的用户比较多,所以看了一下SpringBoot和Logback的版本关系。除了新发布的2.6。影响范围内。如果你正在学习SpringBoot,那么推荐一个连载多年并持续更新的免费教程:https://blog.didispace.com/sp...所以,2.6.x和2.5.x的用户可以直接升级小版本了。如果是之前的版本,那么老办法就是在properties中添加logback.version,例如如下:另外,除了升级版本,官方还建议用户将logback配置文件设置为read-只有权限。最后,不要惊慌,慢慢来,这还没有log4j2那么严重!好了,今天的分享就到这里!如果你在学习过程中遇到困难?可以加入我们超优质的Spring技术交流群,参与交流讨论,更好的学习进步!欢迎来到我的公众号:程序员DD。第一时间了解行业前沿资讯,分享深度技术干货,获取优质学习资源
