麻了,Logback也爆雷了。。。
作者丨纯洁的微笑
来源丨纯洁的微笑(ID:keeppuresmile)
推荐阅读:《
1
Logback 又爆雷
我感觉今年日志组件有点犯太岁。
Lo4j2 连着几个版本爆出大雷之后,在上周 Logback 也爆雷了!
我记得上一次Lo4j2 爆雷之后,部分朋友给出的解决方案之一,就是替换 Lo4j2 为 Logback。
如果真的这样干了....
也没事 :)
因为这次爆出的 Bug 并不是很严重,漏洞的级别定位为中等,影响的范围和程度不是那么的大。
并且官方也知道 Lo4j2 之前的事情搞得有点大,这次在披露漏洞时,还特意的强调了一下这和Lo4j2的情况不一样。
那,怎么一个不一样呢?
2
漏洞等级
在开源的世界里,漏洞等级一般会分为4个
-
Low 低危 -
Medium 中危 -
High 高危 -
Critical 严重
这里重点介绍一下中危和高危,因为本次 Logback 爆出的漏洞等级就是中危,上次 Lo4j2 爆出的漏洞是高危。
中危的漏洞一般需要用户权限才能执行,也就是说你没有拿到这个权限,就算知道有漏洞也执行不了。
高危就比较厉害了,可能会导致特权提升拿到权限,拿到权限后就真的可以为所欲为了。
本次攻击者想要利用这个漏洞,需要同时满足下面三个条件:
-
1、具有修改 logback.xml 的权限 -
2、Logback 版本低于 1.2.9 -
3、重启应用或者是在攻击之前将 scan 设为 "true"(scan="true")
所以使用 Logback 的小伙伴,也不用太着急,大家接着往下看。
3
解决方案
和
一些瓜
当然虽然级别不低,它也毕竟是一个漏洞,所以如果不是很麻烦的话,建议大家都修补一下。
修补的方式也非常的简单,就是将 Logback 升级到 1.2.10,就可以解决了。
<properties>...<logback.version>1.2.10</logback.version></properties>
当然了如果还不放心,建议把 logback 日志配置文件设置为只读,进一步封死配置文件被篡改所引发的漏洞。
在文章的最后,我还发现 logback 和 Lo4j 1.x/2.x还有一段小故事,我在 logback 的官网看到有这样一段话:
Logback is intended as a successor to the popular log4j project, picking up where log4j 1.x leaves off.
意思就是 logback 借鉴了 log4j 1.x 优秀的部分,同时也避免了 log4j 1.x 设计不好的地方。
这是因为 logback 的作者其实也是 log4j 曾经的作者之一,所以 logback 其实是 log4j 1.X 的一个改良版本。
而 log4j 2 是对 Log4j 的升级,它比其前身 log4j 1.x 做出了重大优化,并提供了 logback 中可用的许多改进,同时修复了 logback 架构中的一些问题。
也就是说 log4j 2 是在 log4j 1.X 和 logback 的经验基础上开发而出,真是相爱相杀的一对日志组件呀。
开源软件相互借鉴也是常有的事儿,并且站在前人的基础上,才能走得更高更远!
部分内容参考:
-End-
最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!
面试题】即可获取
在看点这里好文分享给更多人↓↓