vlambda博客
学习文章列表

刚折腾完 Log4j2,Logback 又爆漏洞了!

前阵子 接连爆出漏洞就已经把大家折腾得不轻了,但是昨晚看到群友在聊 Logback 又爆漏洞了。


当时我就震惊了,这是什么情况?难道又是远程代码调用这种重量级 bug 吗?难道又要连夜修复了么?


于是,第一时间到 Logback 官网去查看了一下,果然!


刚折腾完 Log4j2,Logback 又爆漏洞了!


安全漏洞:CVE-2021-42550


漏洞详细:攻击者通过更改 logback 配置文件添加恶意配置,从而可以执行 LDAP 服务器上加载的任意代码。


安全等级:中级


影响版本1.2.9 以下版本


执行漏洞需要完全满足以下条件


  • 具有编写 logback.xml 的权限

  • Logback 版本低于 1.2.9

  • 执行恶意代码的前提:重启应用或者是在攻击之前将 scan 设为 "true"(scan="true")


刚折腾完 Log4j2,Logback 又爆漏洞了!


该漏洞影响1.2.9以下的版本,攻击者可以通过编辑logback配置文件制作一个恶意的配置,允许执行从LDAP服务器加载的任意代码!
看描述似乎挺严重?其实并没有想象的那么严重。从上图中的,其实也可以发现,该漏洞的严重程度只是级别。
为避免恐慌(毕竟这两周被log4j2折腾的不轻),官方新闻中也醒目提示:,因为logback的这个漏洞有一个前提:攻击者得有写logback配置文件的权限才行!
刚折腾完 Log4j2,Logback 又爆漏洞了!

防护方案


临时解决方案


将 Logback 配置文件设置为只读。


正式解决方案


将 Logback 升级至 1.2.9 版本。

<properties>  <logback.version>1.2.9</logback.version></properties>


总结


如果你是 Spring Boot 的用户,那么我建议赶紧升级防护一下。因为除了Spring Boot 新发布的 2.6.2、2.5.8版本使用了1.2.9之外,之前的版本都在受影响范围之内。



这个漏洞其实已经公布好几天了,幸运的是漏洞执行条件比较高,给大家带来的影响不大,大家不用慌哈!


相关链接


Logback News:https://logback.qos.ch/news.html

CVE.report:https://cve.report/CVE-2021-42550

GitHub:https://github.com/spring-projects/spring-boot/issues/29012






      
        
        
      

1. 

2. 

3. 

4. 

5.