logback漏洞、继log4j2之后logback也发现了问题?
作者:gussu-毛虫 原文:https://blog.csdn.net/weixin_46897073/article/details/122158866
大伙都知道,前面Log4j2有漏洞,小孟也是刚修复好!
没想到的是:
logback又漏洞了!
logback漏洞说明
下面是一个漏洞检测机构搜集到的消息。
在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外,还有一个可用的探索。
CVE 摘要是:
在 logback 版本 1.2.7 和之前的版本中,具有编辑配置文件所需权限的攻击者可以制作恶意配置,允许执行从 LDAP 服务器加载的任意代码。
该漏洞被标识为CVE-2021-42550。CVE 的归属发生在 2021 年 10 月 15 日。攻击可以从网络发起。没有可用的技术细节。攻击的复杂性相当高。据说可利用性很困难。该漏洞并不为人所知。此外,还有一个可用的探索。该探索已向公众发布,可以使用。
https://github.com/cn-panda/logbackRceDemo
这是一个触发logBack发生Bug的案例,里面有详细的漏洞分析,感兴趣的可以去看一看。
介绍:
该项目是SpringBoot编写的一个简单的漏洞Demo环境。在这里,我特意写了一个有任意文件上传的漏洞环境,然后利用loghack配置文件中的scan属性配合logback漏洞实现RCE。
总结
主要引起漏洞的原因和Log4j2相同,但是并没有像Log4j2那么的凶,因为这个漏洞不是百分百能触发的,需要特定的条件才可能出现安全问题。但是既然爆出来,还是防范于未然比较好。
触发条件:
logback的配置文件可以修改或覆盖
能够使修改后的配置文件生效
主要影响的版本为:logback version < 1.2.9 和 logback version < 1.3.0-alpha11
转载声明:所有转载文章必注明原文出处或转载出处(转载处未注明原文出处的情况),如有侵权请联系删除