明天一早,还没起床,拿起手机赫然看到一个头条信息,题目着实让我心理咯噔了一下!
马上起床,直奔官网,看看到底什么问题?塌的有多厉害?
既然是1.2.9版本以下问题,那就间接找到1.2.9版本修复了些啥,一看是12月16日公布的,曾经有几天了,初步判断,应该问题不大吧?
认真看看这个版本次要修复的破绽编号:CVE-2021-42550
持续查了一下对于这个破绽的信息如下:
该破绽影响1.2.9以下的版本,攻击者能够通过编辑logback配置文件制作一个歹意的配置,容许执行从LDAP服务器加载的任意代码!
看形容仿佛挺重大?其实并没有设想的那么重大。从上图中的,其实也能够发现,该破绽的重大水平只是MEDIUM级别。
为防止恐慌(毕竟这两周被log4j2折腾的不轻),官网新闻中也醒目提醒:该破绽与log4Shell是齐全不同的重大级别,因为logback的这个破绽有一个前提:攻击者得有写logback配置文件的权限才行!
当然,如果您当心零碎级别的平安做的比拟毛糙,对利用的平安还是不释怀,也能够抉择降级logback的版本来加固该潜在问题的进攻。
因为DD这边Spring Boot用户比拟多,棘手去看了一下Spring Boot版本与Logback的版本关系,除了刚公布不久的2.6.2和2.5.8用了1.2.9之外,之前的版本都在受影响范畴之内。如果您正在学习Spring Boot,那么举荐一个连载多年还在持续更新的收费教程:https://blog.didispace.com/sp...
所以,2.6.x和2.5.x用户间接降级小版本就能够了。如果是之前的版本,那么就老办法,在properties里减少配置logback.version即可,比方上面这样:
另外,除了降级版本之外,官网还倡议用户将logback的配置文件设置为只读权限。
最初说一句,不要太慌,慢慢来,这个没有log4j2那么重大!
好了,明天的分享就到这里!如果您学习过程中如遇艰难?能够退出咱们超高品质的Spring技术交换群,参加交换与探讨,更好的学习与提高!
欢送关注我的公众号:程序猿DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源