乐趣区

关于java:Logback-也爆雷了惊爆了

Logback 也爆雷了

Log4j2 破绽最新进展:

Log4j 2.3.1 公布!又是什么鬼??

Log4j2 核弹级破绽刚完结没几天,Logback 其实也爆雷了,这你能信??

栈长在上篇文章提到,因 Log4j2 破绽的出尔反尔,导致某些公司曾经切换到 Logback 了,如果这也是你们公司的决定,请在文章上面评论区留言。

可令栈长万万想不到的是,在 Log4j2 破绽修复期间,Logback 也出事了,咱们来看官网的通告:

破绽摘要

CVE-2021-42550 近程代码执行破绽
安全等级
影响版本 logback < 1.2.9
logback < 1.3.0-alpha11

该破绽影响了两条版本线:

  • Logback 1.2.x
  • Logback 1.3.x

当然,生产次要还是以 1.2.x 为主,1.3.x 尚未正式公布,Alpha 示意晚期的内部测试版本。

如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。

破绽形容

在 Logback 1.2.7 及之前的版本中,具备编辑配置文件权限的攻击者能够制作歹意配置,容许从 LDAP 服务器加载、执行任意代码。

破绽具体详情可参考:

  • https://cve.report/CVE-2021-4…
  • https://logback.qos.ch/news.html

解决方案

Logback 降级到平安版本:

  • Logback 1.2.9+
  • Logback 1.3.0-alpha11+

修复内容:

1)强化 Logback 的 JNDI 查找机制,只承受 java: 命名空间中的申请,所有其余类型的申请都将被疏忽。

2)SMTPAppender 也被增强了。

3)出于平安起因,临时删除了数据库反对。

4)因 Groovy 配置过于弱小,出于平安起因,删除了对 Groovy 的配置反对,前面也不太可能复原。

看来,JNDI 又闯祸了。。。

JDNI 这到底是什么破玩意,有工夫栈长再分享一篇,关注公众号 Java 技术栈第一工夫推送哦。


上篇文章《终于!Spring Boot 最新版公布,一招解决 Log4j2 核弹级破绽!》,Spring Boot 在最新版本中曾经降级到了平安版本:Logback 1.2.9

不过在 Logback v1.2.9 中还存在 bug:

目前最新版本:

  • Logback 1.2.10
  • Logback 1.3.0-alpha12

倡议间接降级到最新版本,所以,没有必要降级 Spring Boot 主版本,最好的解决方案是只降级 Logback 版本即可。

Spring Boot 根底就不介绍了,举荐下这个实战教程(含示例源码):

https://github.com/javastacks…

Spring Boot & Maven:

<properties>
    ...
    <logback.version>1.2.10</logback.version>
</properties>

更新之后的 Logback 版本:

另外,官网还倡议把 logback 日志配置文件设置为 只读,这样就能彻底堵死配置文件被篡改所引发的破绽。

在 12/14 ~ 12/23 这段时间,官网针对两个版本线都进行了屡次版本更新,以解决此破绽,也是折腾啊。。

Logback 这个破绽属于中危级别,也少有报道,但该破绽属于近程代码执行,危害的结果也挺重大的,倡议大家还是降级吧,防患未然!

话说你们用的什么版本呢?连忙查看降级吧!

刚从 Log4j2 切换过去的小伙伴恐怕要啼笑皆非了吧?如果说的就是你,请在上面评论区留言……

Log4j2 & Logback 破绽的后续停顿,栈长也会继续跟进,关注公众号 Java 技术栈,公众号第一工夫推送。

版权申明!!!

本文系公众号 “Java 技术栈 ” 原创,转载、援用本文内容请注明出处,剽窃、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权力。

近期热文举荐:

1.1,000+ 道 Java 面试题及答案整顿(2021 最新版)

2. 劲爆!Java 协程要来了。。。

3. 玩大了!Log4j 2.x 再爆雷。。。

4.Spring Boot 2.6 正式公布,一大波新个性。。

5.《Java 开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞 + 转发哦!

退出移动版