Logback还爆出Log4j2漏洞最新进展:Log4j2.3.1发布!我勒个去??就在Log4j2核弹级漏洞结束几天后,Logback居然炸了。你能相信吗??栈长在上一篇文章中提到,由于Log4j2漏洞变幻莫测,一些公司转而使用Logback。如果这也是贵公司的决定,欢迎在文章下方评论区留言。让栈长万万没想到的是,在Log4j2漏洞修复期间,Logback也出事了。看官方公告:漏洞汇总CVE-2021-42550远程代码执行漏洞安全等级影响版本logback<1.2.9logback<1.3.0-alpha11该漏洞影响两个版本行:Logback1.2.xLogback1.3.x当然,生产主要基于1.2.x,1.3.x尚未正式发布,Alpha表示早期内测版本。如果你想关注和学习最新最主流的Java技术,可以持续关注公众号Java技术栈,公众号会第一时间推送。漏洞描述在Logback1.2.7及更早版本中,具有编辑配置文件权限的攻击者可以制作恶意配置,允许从LDAP服务器加载和执行任意代码。具体漏洞详情请参考:https://cve.report/CVE-2021-4...https://logback.qos.ch/news.html解决方案Logback升级到安全版本:Logback1.2.9+Logback1.3.0-alpha11+fixes:1)加强Logback的JNDI查找机制,只接受java:命名空间的请求,其他类型的请求将被忽略。2)SMTPAppender也得到了增强。3)出于安全原因,暂时删除了数据库支持。4)由于Groovy配置太强大,出于安全考虑,删除了对Groovy的配置支持,以后恢复的可能性不大。看来JNDI又惹上麻烦了。..JDNI是什么鬼?有时间栈长再分享一篇。关注公众号Java技术栈第一时间推送。在上篇文章《终于!Spring Boot 最新版发布,一招解决 Log4j2 核弹级漏洞!》中,SpringBoot在最新版本中已经升级到安全版本:Logback1.2.9:但是Logbackv1.2.9仍然存在bug:最新版本:Logback1.2.10Logback1.3.0-alpha12建议直接升级到最新版本。因此,无需升级SpringBoot主版本。最好的解决方案是只升级Logback版本。我不会介绍SpringBoot的基础知识。我推荐这个实用教程(包括示例源代码):https://github.com/javastacks...SpringBoot&Maven:
