大家都知道,前段时间Log4j2一波又一波地爆出了重大漏洞,导致很多小伙伴都连夜加班排查问题和更新版本,搞得都有点郁闷了。
当时这个情况发生时,不少项目里用了Logback作为日志组件的小伙伴暗自窃喜,默默围观,吃着Log4j2的瓜。
可万万令人没想到的一幕还是发生了,最近Logback也爆出了漏洞,官网也都披露了相关的漏洞信息和版本更新通告。
从Logback的官网也可以看出,最近这十天多以来,官网也是连续发了好几个新版本,看着属实也是头皮发麻。
截止到12月23号,官网最新把1.2.10的稳定版都给放出来了。
所以目前在Logback官网上能下载到的最新稳定版就是1.2.10版
漏洞编号CVE(通用漏洞披露)网站上给出了此次安全漏洞的编号为:CVE-2021-42550
漏洞描述同样根据CVE网站上关于该漏洞的描述:
攻击者可以通过更改 Logback 配置文件添加或构造恶意配置,从而可以执行 LDAP 服务器上加载的任意代码。
漏洞等级目前漏洞定位是MEDIUM中级。
看起来好像不算最严重,最起码没有当时Log4j2那种CRITICAL级别的远程代码执行漏洞来的严重。
所以这不,Logback官网里还特地cue了一下Log4j2,说我们和log4j那个漏洞可不是一个严重程度的,不用慌不用慌。
你说这夺笋呐。。(doge)
除此之外,Logback官网也特别做了说明,虽说爆出了这个漏洞,但是其执行门槛还是比较高的,真的利用该漏洞来造成影响需要满足以下所有条件:
拥有对logback.xml的修改权限使用的Logback版本 < 1.2.9重新加载了恶意的配置数据,这意味着应用程序重新启动或者之前设置了scan="true"。
影响版本Logback版本 < 1.2.9Logback版本 < 1.3.0-alpha11当然这里需要说明的是,虽说影响涉及1.2.x和1.3.x两个平行版本,但是1.3.x属于非稳定版本,而1.2.x是稳定版,一般生产环境里都是用的1.2.x这条线,而且像Spring Boot的近版里用的也都是1.2.x的正式版。
解决方案升级到 Logback 1.2.9+ 版本建议在项目的配置文件中对Logback的版本进行升级,升到1.2.9基本就妥了。
...<properties> ... <logback.version>1.2.9</logback.version> ... </properties>...目前在Logback官网上能下载到的最新稳定版是1.2.10版
初次之外,作为额外的预防措施,除了升级到Logback 1.2.9版本外,这里也建议用户将他们的Logback 配置文件设置为只读模式,这样就更牢固了。而且我们注意到,Spring Boot最近这几天发布的新Release版本中,Logback都已经升级到了1.2.9了,很稳。
