今天一早,还没起床,拿起手机赫然看到一个头条信息,标题着实让我心理咯噔了一下!
文章图片
马上起床,直奔官网,看看到底什么问题?塌的有多厉害?
既然是1.2.9版本以下问题,那就直接找到1.2.9版本修复了些啥,一看是12月16日发布的,已经有几天了,初步判断,应该问题不大吧?
仔细看看这个版本主要修复的漏洞编号:CVE-2021-42550
继续查了一下关于这个漏洞的信息如下:
文章图片
该漏洞影响1.2.9以下的版本,攻击者可以通过编辑logback配置文件制作一个恶意的配置,允许执行从LDAP服务器加载的任意代码!
看描述似乎挺严重?其实并没有想象的那么严重。从上图中的,其实也可以发现,该漏洞的严重程度只是MEDIUM级别。
为避免恐慌(毕竟这两周被log4j2折腾的不轻),官方新闻中也醒目提示:该漏洞与log4Shell是完全不同的严重级别,因为logback的这个漏洞有一个前提:攻击者得有写logback配置文件的权限才行!
文章图片
当然,如果您当心系统级别的安全做的比较粗糙,对应用的安全还是不放心,也可以选择升级logback的版本来加固该潜在问题的防御。
因为DD这边Spring Boot用户比较多,顺手去看了一下Spring Boot版本与Logback的版本关系,除了刚发布不久的2.6.2和2.5.8用了1.2.9之外,之前的版本都在受影响范围之内。如果您正在学习Spring Boot,那么推荐一个连载多年还在继续更新的免费教程:https://blog.didispace.com/sp...
所以,2.6.x和2.5.x用户直接升级小版本就可以了。如果是之前的版本,那么就老办法,在properties里增加配置logback.version即可,比如下面这样:
文章图片
另外,除了升级版本之外,官方还建议用户将logback的配置文件设置为只读权限。
最后说一句,不要太慌,慢慢来,这个没有log4j2那么严重!
【Log4j2 消停了,Logback 开始塌房了()】好了,今天的分享就到这里!如果您学习过程中如遇困难?可以加入我们超高质量的Spring技术交流群,参与交流与讨论,更好的学习与进步!
欢迎关注我的公众号:程序猿DD。第一时间了解前沿行业消息、分享深度技术干货、获取优质学习资源
推荐阅读
- VS Code 2022路线图(大量Spring Boot优化提上日程!难道是被JB Code吓到了())
- Spring Boot 3.0.0 发布第一个里程碑版本M1,你的 Java 升到17 了吗()
- 稀疏数组与数组的关系与转化
- Synchronized的底层实现原理(看这篇就够了)
- main函数你到底知道多少
- 比postman更好用的API调试工具?apifox,永远滴神
- Dubbo拓展点加载机制
- Spring boot 2.0的Redis缓存应用
- 保姆级教程,终于搞懂脏读、幻读和不可重复读了!
- Spring Boot 2 中的默认日志管理与 Logback 配置详解