关于java:Log4j2-消停了Logback-开始塌房了

60次阅读

共计 907 个字符,预计需要花费 3 分钟才能阅读完成。

明天一早,还没起床,拿起手机赫然看到一个头条信息,题目着实让我心理咯噔了一下!

马上起床,直奔官网,看看到底什么问题?塌的有多厉害?

既然是 1.2.9 版本以下问题,那就间接找到 1.2.9 版本修复了些啥,一看是 12 月 16 日公布的,曾经有几天了,初步判断,应该问题不大吧?

认真看看这个版本次要修复的破绽编号:CVE-2021-42550

持续查了一下对于这个破绽的信息如下:

该破绽影响 1.2.9 以下的版本,攻击者能够通过编辑 logback 配置文件制作一个歹意的配置,容许执行从 LDAP 服务器加载的任意代码!

看形容仿佛挺重大?其实并没有设想的那么重大。从上图中的,其实也能够发现,该破绽的重大水平只是 MEDIUM 级别。

为防止恐慌(毕竟这两周被 log4j2 折腾的不轻),官网新闻中也醒目提醒:该破绽与 log4Shell 是齐全不同的重大级别,因为 logback 的这个破绽有一个前提:攻击者得有写 logback 配置文件的权限才行!

当然,如果您当心零碎级别的平安做的比拟毛糙,对利用的平安还是不释怀,也能够抉择降级 logback 的版本来加固该潜在问题的进攻。

因为 DD 这边 Spring Boot 用户比拟多,棘手去看了一下 Spring Boot 版本与 Logback 的版本关系,除了刚公布不久的 2.6.2 和 2.5.8 用了 1.2.9 之外,之前的版本都在受影响范畴之内。如果您正在学习 Spring Boot,那么举荐一个连载多年还在持续更新的收费教程:https://blog.didispace.com/sp…

所以,2.6.x 和 2.5.x 用户间接降级小版本就能够了。如果是之前的版本,那么就老办法,在 properties 里减少配置 logback.version 即可,比方上面这样:

另外,除了降级版本之外,官网还 倡议用户将 logback 的配置文件设置为只读权限

最初说一句,不要太慌,慢慢来,这个没有 log4j2 那么重大!

好了,明天的分享就到这里!如果您学习过程中如遇艰难?能够退出咱们超高品质的 Spring 技术交换群,参加交换与探讨,更好的学习与提高!

欢送关注我的公众号:程序猿 DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源

正文完
 0