前段时间 Log4j接连爆漏洞的事儿相比把大家都折腾的不轻,很多开发都被连夜叫起来修复漏洞。这几天终于平复一些了。

可是,昨晚,忽然看到技术群和朋友圈,有人开始聊Logback 又爆漏洞了。

这是什么情况?难道又是远程代码调用这种重量级 bug 吗?难道又要连夜修复了么?

于是,第一时间到 Logback 官网去查看了一下。果然有一条在12月22号更新的漏洞通告。

漏洞编号:CVE-2021-42550

通过官网描述,可以知道:

在 Logback 1.2.7及以下版本中,存在安全漏洞,攻击者可以通过更改 logback 配置文件添加恶意配置,从而可以执行 LDAP 服务器上加载的任意代码。

漏洞级别

但是,为了避免恐慌,官方特意强调:

Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels.

说明了**该漏洞和 Log4j的漏洞根本不是一个级别的!!!**不必恐慌~

攻击者想要利用这个漏洞,需要同时满足一下三个条件:

1、具有修改 logback.xml 的权限

2、Logback 版本低于 1.2.9

3、重启应用或者是在攻击之前将 scan 设为 “true”(scan=“true”)

安全防护

官方建议大家,为了避免被攻击,需要做以下事情:

1、将 Logback 升级到1.2.9 2、将logback配置文件设置为只读

另外,如果大家的项目中使用了 SpringBoot的话,建议升级做一下防护,因为 SpringBoot 除了新发布的2.6.2和2.5.8以外,都没有升级到1.2.9。

建议使用旧版 SpringBoot 的朋友,在配置文件中升级 Logback 的版本:

<properties><logback.version>1.2.9</logback.version>
</properties>

参考资料

https://logback.qos.ch/news.html

https://cve.report/CVE-2021-42550

Log4j未平,Logback 又起,再爆漏洞。相关推荐

  1. Java再爆漏洞,甲骨文紧急修复

    Java日前再被爆出重要安全漏洞,使得甲骨文不得不紧急发布补丁,以避免漏洞造成更大的危害. 甲骨文此次发布的补丁主要解决了CVE-2013-1493和另外一个影响浏览器中Java的漏洞. 攻击者可利用 ...

  2. 以太坊再爆高危漏洞!黑客增发ATN 1100万枚token事件始末

    以太坊再爆高危漏洞!黑客增发ATN 1100万枚token事件始末 编者按:5月11日,ATN Token遭受恶意攻击,攻击者利用DSAuth库与ERC223搭配使用具有的混合漏洞,窃取了ATN的所有 ...

  3. 小心!智能合约再爆高危漏洞,两大加密货币直接变废纸!

    小心!智能合约再爆高危漏洞,两大加密货币直接变废纸! 大家都还记得,前一段时间发生的BEC智能合约的安全漏洞问题.近日,智能合约安全问题再次上演,火币Pro发布公告,暂停EDU冲提币业务,随后EDU智 ...

  4. 开发log4j配置_从 log4j 迁移到 logback

    最近把项目的日志框架从 log4j 迁移到 logback,过程里遇到很多坑,记录下来 目标 本次迁移的目标就是用 slf4j+logback 的日志框架来取代目前的 slf4j+log4j 如何迁移 ...

  5. log4j升级到logback

    虽然现在log4j已经基本上不更新很久了,但实际上升级log4j到logback最大的难度并不在于本身的替换,而是现有大量的三方jar依然使用log4j,以至于无法100%的exclude掉,所以很有 ...

  6. android 智能指针的学习先看邓凡平的书扫盲 再看前面两片博客提升

    android 智能指针的学习先看邓凡平的书扫盲 再看前面两片博客提升 转载于:https://www.cnblogs.com/jeanschen/p/3507512.html

  7. 鸿蒙系统对手机性能的提升,鸿蒙OS手机版再爆新特性,流畅度和性能大幅提升,用户评价很高...

    原标题:鸿蒙OS手机版再爆新特性,流畅度和性能大幅提升,用户评价很高 不受限制地影响真好,但凡是都要有一个循序渐进的过程.华为自从公布鸿蒙OS手机版之后,用户都迫不及待地想体验.如今它真的来了,而且体 ...

  8. 开发者周刊:英特尔再爆重大芯片漏洞;微软开源Bing搜索关键算法;Facebook联合创始人呼吁拆分Facebook

    开发者周刊:只为传递"有趣/有用"的开发者内容,点击订阅! 本周热门项目 GitHub推出软件包托管服务Package Registry 本周,GitHub 再下一城,推出自己的软 ...

  9. ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏

    本文讲的是ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏, 在安全研究员发现图片处理库ImageMagick存在严重漏洞.可导致服务器内存数据泄漏错误后,雅虎工程师决定把自家网站上 ...

最新文章

  1. 树莓派 ubuntu 18.04 安装 .NET Core
  2. 【c语言】蓝桥杯算法训练 整除问题
  3. DiscuzNT 商品交易插件设计之[线下交易流程]
  4. (转)如何用U盘创建Linux系统盘
  5. MySql 缓存查询原理与缓存监控 和 索引监控
  6. 五大质量工具详解及运用案例_掌握质量管理五大工具,实现九段质量管理成长...
  7. 图书馆管理系统怎么做_亚马逊erp管理系统有免费的吗?亚马逊erp管理系统怎么免费做...
  8. revman软件_meta分析概述及RevMan软件安装教程
  9. eclipse 达梦 连接_JDBC连接达梦7数据库
  10. Mac下Android相关配置
  11. oracle 应收 系统选项,Oracle财务系统应收账款模块操作手册
  12. 怎么看电脑支持多少兆网速_电脑网速怎么看(电脑怎么看网速多少兆)
  13. hautoj 1260
  14. 衣带渐宽终不悔,为伊消得人憔悴。
  15. TeamTalk Netlib详解
  16. 清晰思路带你掌握如何运用循环打印各种图案(新手向)
  17. dockers存储卷
  18. 虚拟机ipv4和6都没访问权限_ipv4和ipv6无网络访问权限 win10
  19. UDP通讯之字节流与protobuf转换(C++版)
  20. 推荐40个互联网知名博客

热门文章

  1. Qt creator5.7 OpenCV249之双边滤波(含源码下载)
  2. python discuz搜索api_Django用内置方法实现简单搜索功能的方法
  3. python多线程爬虫框架_普通爬虫vs多线程爬虫vs框架爬虫,Python爬对比
  4. php int 设置超时,php如何设置超时时间
  5. apache shiro版本查看_深入学习SpringBoot(四):springboot整合shiro
  6. 测试工程师需要具备的技能
  7. 操作系统之进程管理:12、生产者消费者问题和多级生产者多级消费者问题
  8. (计算机组成原理)第二章数据的表示和运算-第三节2:IEEE754标准
  9. qt设置路径为应用程序启动路径
  10. Qt 自定义界面(实现无边框、可移动)