麻了,Logback也炸了。。

最新推荐文章于 2024-08-09 09:11:23 发布
最新推荐文章于 2024-08-09 09:11:23 发布
阅读量617 收藏 2
点赞数 1
文章标签: 安全 java spring boot log4j logback
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg3MjA4MTExMw==&mid=2247504194&idx=1&sn=adab0c09147c9f85762df0d143f473f4&chksm=cef622f4f981abe218b84a9c8ac0b9a2da719e5d3d057110a51200bcb9f2bbcc3edd0c410eef&scene=126&&sessionid=0
版权

前段时间 Log4j接连爆漏洞的事儿相比把大家都折腾的不轻,很多开发都被连夜叫起来修复漏洞。这几天终于平复一些了。

可是,昨晚,忽然看到技术群和朋友圈,有人开始聊Logback 又爆漏洞了。

这是什么情况?难道又是远程代码调用这种重量级 bug 吗?难道又要连夜修复了么?

于是,第一时间到 Logback 官网去查看了一下。果然有一条在12月22号更新的漏洞通告。

漏洞编号:CVE-2021-42550

8f22054f9ff10cb117e06872f51504ab.png

通过官网描述,可以知道:

在 Logback 1.2.7及以下版本中,存在安全漏洞,攻击者可以通过更改 logback 配置文件添加恶意配置,从而可以执行 LDAP 服务器上加载的任意代码。

漏洞级别

但是,为了避免恐慌,官方特意强调:

Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels.

说明了该漏洞和 Log4j的漏洞根本不是一个级别的!!!不必恐慌~

攻击者想要利用这个漏洞,需要同时满足一下三个条件:

1、具有修改 logback.xml 的权限

2、Logback 版本低于 1.2.9

3、重启应用或者是在攻击之前将 scan 设为 "true"(scan="true")

安全防护

官方建议大家,为了避免被攻击,需要做以下事情:

1、将 Logback 升级到1.2.9 

2、将logback配置文件设置为只读

另外,如果大家的项目中使用了 SpringBoot的话,建议升级做一下防护,因为 SpringBoot 除了新发布的2.6.2和2.5.8以外,都没有升级到1.2.9。

c20b1ec96c5a1e09fe92faa0a8720cc8.png

b31f7d8c1a13eed08e2d38950f78d78b.png

建议使用旧版 SpringBoot 的朋友,在配置文件中升级 Logback 的版本:

<properties>
  <logback.version>1.2.9</logback.version>
</properties>

参考资料

https://logback.qos.ch/news.html

https://cve.report/CVE-2021-42550

欢迎添加小编微信,进入交流群

推荐阅读:
最新!2022互联网薪酬盘点,你达标了吗?
慕了!网传腾讯《英雄联盟》项目组年终奖每人120万!
Log4j2 维护者发声:没有工资,还要挨骂!!
IntelliJ IDEA 2021.3发布,这次不追了。。
漫话编程
关注
logback更新到1.3版本tomcat无法启动问题解决
得之专栏
05-29 3941
问题 银联漏洞扫描,说logback1.1.3有漏洞不让用了,必须要更新到1.3.0-alpha5,mave依赖改完之后,发现无法启用,缺少类,然后吧slf4j-api-1.7.5更新到slf4j-api-2.0.0-alpha1,还是无法启动,报找不到StaticLoggerBinder,对比logback-classic jar包果然发现没有StaticLoggerBinder了,啥情况? 解决过程 1. 上slf4j官网看看, 意思就是说slf4j-api 1.8之后的版本不再使用静态绑定了,就是不
Open-Xchange 修复 OX App Suite 中的RCE等漏洞
smellycat000的专栏
07-28 421
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士多样化技术和基础设施软件提供商 Open-Xchange 发布了影响 OX App Suite 的多个漏洞的修复方案。OX App Suite 是一款本地解决方案或是该组织机构云服务的组成部分,专为电信、web 托管企业和服务提供商设计的加密邮件和协作软件。最新的补丁发布修复了位于该软件文档转换器组件中的两个远程代码执行...
Logback原理及应用详解(十五)
最新发布
凛鼕将至的博客
08-09 1252
Logback是一个高性能、灵活且可扩展的Java日志框架,由log4j的创始人Ceki Gülcü设计。它是SLF4J(Simple Logging Facade for Java)的一个实现,并且被设计为log4j的继任者和改良版。Logback旨在提供更快的日志记录速度、更小的内存占用以及更丰富的功能特性。 本文将跟随《Logback原理及应用详解(十四)》的进度,继续介绍Logback。希望通过本系列文章的学习,您将能够更好地理解Logback的内部工作原理,掌握L
springcloud启动报错LoggerFactory is not a Logback LoggerContext but Logback...
一尘在心的博客
01-09 715
&lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-web&lt;/artifactId&gt; &lt;exclusions&gt; &lt;exclusion&gt;
springboot中将logback切换为log4j2
m0_69057918的博客
05-31 2132
springboot中将logback切换为log4j2
logback使用与配置
小小程序猿
02-28 712
好久没有写博客了。因为忙着搞项目,而且因为放假。猛然一回头,二月最后一天了,好快,该把这个月学到的东西该总结一下了。写博客既是加深一下记忆,另外是如果有错误希望大家能指出来。一、为什么使用logback          logback作为log4j作者的另一款作品,避开了log4j的缺点。拥有更快的执行速度,某些场景下,logback的执行速度是log4j的10倍。        logback...
Logback框架需要的3个jar包和logback.xml文件
09-24
Logback 是一个在Java应用程序中广泛使用的日志记录框架,它是对早期的log4j框架的一个升级和扩展。Logback 提供了高效、灵活的日志记录解决方案,支持多种日志级别,如DEBUG、INFO、WARN、ERROR等,帮助开发者调试...
logback下载 日志文件jar包
12-11
Logback 是一款广泛使用的日志记录框架,由 Ceki Gülcü 创建,作为其先前作品 Log4j 的改进版。这个压缩包包含了实现 Logback 功能所需的几个关键组件,以及一个配置文件,使得用户能够方便地管理和记录应用程序的...
logback
06-22
这为用户提供了深入了解其工作原理的机会,同时也使得自定义和扩展变得更加可能。 “工具”标签表明logback是一个开发工具,帮助开发者在应用程序的开发、测试和维护阶段收集和分析日志信息。它不仅可以用于常规的...
logback.xml文件
07-09
下载配置好文件后,更改file和fileNamePattern,修改为自己的地址,可以随机指定一个文件夹
Logback类库含logback.xml配置文件
04-18
Logback 是一个流行的 Java 日志框架,由 Ceki Gülcü 创建,他是早期日志框架 Log4j 的主要开发者。Logback 是为了提供更高效、更灵活的日志记录解决方案而设计的,它不仅继承了 Log4j 的优点,还解决了一些性能和...
slf4j-1.7.25jar包+logback-1.2.3jar包
12-05
slf4j-1.7.25jar包+logback-1.2.3jar包 slf4j-1.7.25jar包+logback-1.2.3jar包
logback-core-1.2.9.jar
09-23
logback-core-1.2.9.jar
logback的配置文件(logback.xml)常用配置详解
Char_CN的专栏
08-07 5277
***********************************************详解 and ******************************************   一:根节点包含的属性:   scan: 当此属性设置为true时,配置文件如果发生改变,将会被重新加载,默认值为true。 scanPeriod: 设置监测配置
web项目根据profiles动态配置各环境的properties和logback.xml
糯米爱吃西瓜
07-17 852
前情提要:web项目中的配置文件一般有开发环境dev,测试环境test,生产环境prd的区分,每次本地运行测试或者打包都需要手动修改web.xml或者spring.xml(因为一般各个环境的配置文件都是在这2个XML中配置加载的),很烦还容易忘。最近突然发现我们公司其他项目组有在maven中配置profiles,可以通过在maven插件上点击选择,直接就能打包运行所选的环境。如图 1: 研究了一波,我这边将不通环境的logback配置文件也集成到里面了,需要实现的目标是:在idea的maven插件这
logback -- 配置详解 -- 二 -- <appender>
limeOracle的博客
06-07 120
附: logback.xml实例 logback -- 配置详解 -- 一 -- <configuration>及子节点 logback -- 配置详解 -- 二 -- <appender> logback -- 配置详解 -- 三 -- <encoder> logback -- 配置详解 -- 四 -- <filter> ...
54. spring boot日志升级篇—logback【从零开始学Spring Boot
热门推荐
悟纤学院
08-26 1万+
在《44. Spring Boot日志记录SLF4J》章节中有关相关的介绍,这里我们在深入的了解下logback框架。   为什么要使用logback ?        ——在开发中不建议使用System.out因为大量的使用会增加资源的消耗。因为使用System.out是在当前线程执行的,写入文件也是写入完毕之后才继续执行下面的程序。而使用Log工具不但可以控制日志是否输出,怎么输出,它的
日志框架升级
既无风雨也无晴
12-07 1286
日志框架升级 前言 最近团队一个应用做平台化改造,应用中存在多个日志实现框架,这些框架并非应用自己引入,而是依赖了的N多二方包存在中间依赖,被迫引入到应用当中。仔细梳理后,发现这些中间依赖存在log4j1、logback等。团队目标是升级到性能提升很大的log4j2,在这个过程遇到一些问题,通过查阅ATA等资料也有所收获。 升级过程 采坑一 刚开始第一直觉是,既然是升级Log4j2,把Log4j1和Logback的相关依赖全部排除,再引入log4j2的相关依赖就好了。按照这样的思路,禁用MavenHelpe
修改只读文件权限并修改文件
sinat_41563673的博客
07-20 9942
1.Ubuntu 更改文件夹权限及chmod详细用法如下: sudo chmod 777 ××× (每个人都有读和写以及执行的权限) sudo chmod 644 ××× (所有者有读和写的权限,组用户只有读的权限) 2.退出编辑模式,并保存,按键esc退出insert模式,然后按shift+: (shift+冒号键),然后输入wq,wq表示,保存并退出。如果只按键q,则是只退出不保存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值