vlambda博客
学习文章列表

logback漏洞说明

下面是一个漏洞检测机构搜集到的消息。

在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外，还有一个可用的探索。

CVE 摘要是：

在 logback 版本 1.2.7 和之前的版本中，具有编辑配置文件所需权限的攻击者可以制作恶意配置，允许执行从 LDAP 服务器加载的任意代码。

该漏洞被标识为CVE-2021-42550。CVE 的归属发生在 2021 年 10 月 15 日。攻击可以从网络发起。没有可用的技术细节。攻击的复杂性相当高。据说可利用性很困难。该漏洞并不为人所知。此外，还有一个可用的探索。该探索已向公众发布，可以使用。

https://github.com/cn-panda/logbackRceDemo

这事一个触发logBack发生Bug的案例，里面有详细的漏洞分析，感兴趣的可以去看一看。

介绍：

该项目是SpringBoot编写的一个简单的漏洞Demo环境。在这里，我特意写了一个有任意文件上传的漏洞环境，然后利用loghack配置文件中的scan属性配合logback漏洞实现RCE。

总结

主要引起漏洞的原因和Log4j2相同，但是并没有像Log4j2那么的凶，因为这个漏洞不是百分百能触发的，需要特定的条件才可能出现安全问题。但是既然爆出来，还是防范于未然比较好。

触发条件：

• logback的配置文件可以修改或覆盖

  
  

• 能够使修改后的配置文件生效

主要影响的版本为：logback version < 1.2.9 和 logback version < 1.3.0-alpha11

  
    
    
  

   
     
     
   
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
    
 
   
  
    
    
  




如有收获，点个在看，诚挚感谢