背??景前几天的Log4j漏洞,不知道抓了多少程序加班,关键漏洞还是接连出现。这对于程序员和Log4j的开源作者来说真的很难。为此,二哥还专门写了一篇关于修复漏洞的文章【原文点此】。甚至有小伙伴在评论区表示,“这么小的漏洞值得写这么多吗?”。看来这位朋友还没有意识到漏洞的严重性。本来以为用Logback可以躲过一劫。没想到在朋友圈看到有人在讨论Logback的新漏洞,吓得我连忙查看项目中的版本。漏洞详情为了了解是怎么回事,先去官网(https://logback.qos.ch/news.html)看看。在官网的News中可以看到,12月16日更新了1.2.9版本。从上面关于Logback漏洞的News中可以看出,12月16日更新了1.2.9版本,描述表明:受影响的版本低于1.2.9版。为了避免恐慌,官方强调:“请理解log4Shell/CVE-2021-44228和CVE-2021-42550的严重级别不同。”也就是说这个漏洞和Log4j漏洞不是一个级别的。所以,你不必恐慌。该漏洞的利用需要满足三个条件:具有修改logback.xml的权限;Logback版本低于1.2.9;在攻击前重新启动应用程序或将扫描设置为真。点击上面的漏洞(编号:CVE??-2021-42550),可以看到最新的修改日期是12月22日:CVE-2021-42550通过官网的描述可以知道:Logback1.2.7(如下图)aslessthan1.2.9)及以下版本存在安全漏洞,攻击者可以通过更改logback配置文件添加恶意配置,从而执行加载到LDAP服务器的任意代码。安全防护看似是一个严重的漏洞,但上图所描述的漏洞的严重级别仅为MEDIUM级别,即中等级别。所以,不要过度恐慌,但如果可能的话,还是选择升级,以保证系统的安全。解决方法很简单:除了将Logback升级到1.2.9版本外,官方建议将Logback配置文件设置为只读。如果你使用的是SpringBoot项目,除了新发布的2.5.8和2.6.2,Logback还没有升级到1.2.9版本。建议升级pom.xml文件中Logback的版本:
