Logback 也爆雷了
Log4j2 破绽最新进展:
Log4j 2.3.1 公布!又是什么鬼??
Log4j2 核弹级破绽刚完结没几天,Logback 其实也爆雷了,这你能信??
栈长在上篇文章提到,因 Log4j2 破绽的出尔反尔,导致某些公司曾经切换到 Logback 了,如果这也是你们公司的决定,请在文章上面评论区留言。
可令栈长万万想不到的是,在 Log4j2 破绽修复期间,Logback 也出事了,咱们来看官网的通告:
破绽摘要
CVE-2021-42550 | 近程代码执行破绽 |
---|---|
安全等级 | 中 |
影响版本 | logback < 1.2.9 logback < 1.3.0-alpha11 |
该破绽影响了两条版本线:
- Logback 1.2.x
- Logback 1.3.x
当然,生产次要还是以 1.2.x 为主,1.3.x 尚未正式公布,Alpha 示意晚期的内部测试版本。
如果你想关注和学习最新、最支流的 Java 技术,能够继续关注公众号 Java 技术栈,公众号第一工夫推送。
破绽形容
在 Logback 1.2.7 及之前的版本中,具备编辑配置文件权限的攻击者能够制作歹意配置,容许从 LDAP 服务器加载、执行任意代码。
破绽具体详情可参考:
- https://cve.report/CVE-2021-4…
- https://logback.qos.ch/news.html
解决方案
Logback 降级到平安版本:
- Logback 1.2.9+
- Logback 1.3.0-alpha11+
修复内容:
1)强化 Logback 的 JNDI 查找机制,只承受 java:
命名空间中的申请,所有其余类型的申请都将被疏忽。
2)SMTPAppender 也被增强了。
3)出于平安起因,临时删除了数据库反对。
4)因 Groovy 配置过于弱小,出于平安起因,删除了对 Groovy 的配置反对,前面也不太可能复原。
看来,JNDI 又闯祸了。。。
JDNI 这到底是什么破玩意,有工夫栈长再分享一篇,关注公众号 Java 技术栈第一工夫推送哦。
上篇文章《终于!Spring Boot 最新版公布,一招解决 Log4j2 核弹级破绽!》,Spring Boot 在最新版本中曾经降级到了平安版本:Logback 1.2.9:
不过在 Logback v1.2.9 中还存在 bug:
目前最新版本:
- Logback 1.2.10
- Logback 1.3.0-alpha12
倡议间接降级到最新版本,所以,没有必要降级 Spring Boot 主版本,最好的解决方案是只降级 Logback 版本即可。
Spring Boot 根底就不介绍了,举荐下这个实战教程(含示例源码):
https://github.com/javastacks…
Spring Boot & Maven:
<properties>
...
<logback.version>1.2.10</logback.version>
</properties>
更新之后的 Logback 版本:
另外,官网还倡议把 logback 日志配置文件设置为 只读,这样就能彻底堵死配置文件被篡改所引发的破绽。
在 12/14 ~ 12/23 这段时间,官网针对两个版本线都进行了屡次版本更新,以解决此破绽,也是折腾啊。。
Logback 这个破绽属于中危级别,也少有报道,但该破绽属于近程代码执行,危害的结果也挺重大的,倡议大家还是降级吧,防患未然!
话说你们用的什么版本呢?连忙查看降级吧!
刚从 Log4j2 切换过去的小伙伴恐怕要啼笑皆非了吧?如果说的就是你,请在上面评论区留言……
Log4j2 & Logback 破绽的后续停顿,栈长也会继续跟进,关注公众号 Java 技术栈,公众号第一工夫推送。
版权申明!!!
本文系公众号 “Java 技术栈 ” 原创,转载、援用本文内容请注明出处,剽窃、洗稿一律投诉侵权,后果自负,并保留追究其法律责任的权力。
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿(2021 最新版)
2. 劲爆!Java 协程要来了。。。
3. 玩大了!Log4j 2.x 再爆雷。。。
4.Spring Boot 2.6 正式公布,一大波新个性。。
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!