文章目录
前两天因为log4j2的问题许多公司估计都通宵达旦的加班看版本改BUG了,但最近Logback也被发现相同问题。
logback漏洞说明
下面是一个漏洞检测机构搜集到的消息。
在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外,还有一个可用的探索。
CVE 摘要是:
在 logback 版本 1.2.7 和之前的版本中,具有编辑配置文件所需权限的攻击者可以制作恶意配置,允许执行从 LDAP 服务器加载的任意代码。
该漏洞被标识为CVE-2021-42550。CVE 的归属发生在 2021 年 10 月 15 日。攻击可以从网络发起。没有可用的技术细节。攻击的复杂性相当高。据说可利用性很困难。该漏洞并不为人所知。此外,还有一个可用的探索。该探索已向公众发布,可以使用。
英文
中文翻译