logback漏洞、继log4j2之后logback也发现了问题?

最新推荐文章于 2024-07-30 09:00:00 发布
最新推荐文章于 2024-07-30 09:00:00 发布
阅读量3.9k 收藏 2
点赞数 2
分类专栏: JAVA 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46897073/article/details/122158866
版权
博客详细介绍了Logback在1.2.7之前的版本中存在一个与log4j2类似的安全漏洞,允许攻击者通过恶意配置执行LDAP服务器上的任意代码。虽然利用难度较高且不广为人知,但已公开的探索意味着风险仍然存在。文章提供了触发漏洞的案例分析,并指出防范措施的重要性。
摘要由CSDN通过智能技术生成

文章目录

前两天因为log4j2的问题许多公司估计都通宵达旦的加班看版本改BUG了,但最近Logback也被发现相同问题。

logback漏洞说明

下面是一个漏洞检测机构搜集到的消息。

在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外,还有一个可用的探索。

CVE 摘要是

在 logback 版本 1.2.7 和之前的版本中,具有编辑配置文件所需权限的攻击者可以制作恶意配置,允许执行从 LDAP 服务器加载的任意代码。

该漏洞被标识为CVE-2021-42550。CVE 的归属发生在 2021 年 10 月 15 日。攻击可以从网络发起。没有可用的技术细节。攻击的复杂性相当高。据说可利用性很困难。该漏洞并不为人所知。此外,还有一个可用的探索。该探索已向公众发布,可以使用。

英文
在这里插入图片描述
中文翻译
在这里插入图片描述

最低0.47元/天 解锁文章
gussu-毛虫
关注
专栏目录
跟个风,聊一聊这两天很火的Log4j核弹级漏洞
jinggege_795的博客
12-12 1490
相信大家这两天应该被这么一条新闻刷屏了吧: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事! log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,可以帮
logback 漏洞,谈到我们是否可以续使用开源软件
assember的博客
02-24 604
logback 前段时间爆出高危漏洞,一时间人人自危,各大软件使用了logback 的第一时间提供更新补丁,各大公司连夜紧急处理。 这时候,我们不禁回去思考,是否以后选择工具和中间件时还是选择信任开源软件 是否信任开源软件
Logback 日志打印导致程序崩溃的实战分析
最新发布
我是一名热爱编程和分享知识的技术作者,在金融和教育领域有多年的研发管理经验,感谢您访问我的博客,一定会为您带来不一样的收货!
07-30 786
日志记录是必不可少的一环,帮我们追踪程序的行为,定位问题所在。然而,有时日志本身却可能成为问题的根源。所以要根据实际情况选择合适的日志输出方式,避免造成程序阻塞而导致业务收到影响。从理论到实践:零拷贝技术的全面解读_零拷贝详解-CSDN博客Sentinel与Nacos强强联合,构建微服务稳定性基石的重要实践_nacos sentinel-CSDN博客从0开始理解云原生架构-CSDN博客TiDB高手进阶:揭秘自增ID热点现象与高级调优技巧_tidb 分布式自增id-CSDN博客。
Log4j一波未平,Logback 一波又起,再爆漏洞
程序新视界
12-25 2888
背景 前些天Log4j的漏洞,不知多少程序被抓去加班,关键漏洞还是接连出现的,真是辛苦了程序员,也辛苦了Log4j的开源作者。 为此,二师兄还专门写了一篇还原漏洞的文章【原文点这里】。竟然有朋友在评论区说”就这么一个小漏洞,值得这么大肆的写吗?“。看来那位朋友还没意识到漏洞的严重性。 本来以为使用的是Logback能够躲过一劫,没想到,又看到朋友圈在讨论Logback的爆出的新漏洞,吓得赶紧看了一下项目中的版本。 漏洞详情 为了了解一下是什么情况,先去官网(https://logback.qos.ch/ne
Log4j一波未平,Logback 一波又起再爆漏洞
rqaz123的博客
12-29 916
背景 前些天Log4j的漏洞,不知多少程序被抓去加班,关键漏洞还是接连出现的,真是辛苦了程序员,也辛苦了Log4j的开源作者。 为此,二师兄还专门写了一篇还原漏洞的文章【原文点这里】。竟然有朋友在评论区说”就这么一个小漏洞,值得这么大肆的写吗?“。看来那位朋友还没意识到漏洞的严重性。 本来以为使用的是Logback能够躲过一劫,没想到,又看到朋友圈在讨论Logback的爆出的新漏洞,吓得赶紧看了一下项目中的版本。 漏洞详情 为了了解一下是什么情况,先去官网(https://logback.qo
logback1.2.3版本日志bug
qq_41178109的博客
12-07 557
日志文件数量超过1000后将无法自动删除。
浅谈spring boot 集成 log4j 解决与logback冲突的问题
09-17
### Spring Boot集成Log4j解决与Logback冲突的问题 #### 一、背景介绍 Spring Boot作为一款快速构建独立运行的微服务应用框架,其内置了大量的自动化配置,这为开发者提供了极大的便利。但在某些场景下,这种高度...
日志效率对比 -- log4j log42 logback
qq_28680991的博客
04-19 1015
实例测试不同日志框架性能, 通过修改BaseLogInfo中的线程数和数据总数,可以测试不同量级情况下,性能的差距。 依赖: <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> ...
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip)
01-07
Apache Log4j 2 源代码( apache-log4j-2.17.1-src.zip) 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞...
[Java 接口自动化框架]-优化篇04,log4j2改成logback
fen_fen的专栏
12-22 546
[Java 接口自动化框架]->log4j2改成logback 原因: 因log4j2漏洞,参考:https://blog.csdn.net/MEIYOUDAO_JIUSHIDAO/article/details/121884626 公司的产品日志相关的都更新成logback,那么自动化框架的日志也需要更新下。 解决方法: Logback日志配置,参考:https://blog.csdn.net/fen_fen/article/details/122089939 操作步骤: 引用和调用:
logback日志配置demo
04-15
本文件为logback日志配置demo, 讲解如何配置logback日志及不同的配置方式,示例代码; 本包为maven项目。
Log4j2 漏洞过后、Logback漏洞也来了
Within的博客
12-24 3909
Log4j2 漏洞过后、Logback漏洞也来了
用Clojure编写REST service 五 使用logback(有bug)
Dean Chen的专栏
01-02 3021
一个完整的web app当然需要写日志。这里我采用习惯的slf4j+logback。首先在my-website目录的project.clj文件中添加两个依赖:tools.logging&logback-classic(defproject my-website "0.1.0-SNAPSHOT" :description "FIXME: write this!"
Log4j2 消停了,Logback 开始塌房了?
欢迎来到我的博客
12-24 1808
今天一早,还没起床,拿起手机赫然看到一个头条信息,标题着实让我心理咯噔了一下! 马上起床,直奔官网,看看到底什么问题?塌的有多厉害? 既然是1.2.9版本以下问题,那就直接找到1.2.9版本修复了些啥,一看是12月16日发布的,已经有几天了,初步判断,应该问题不大吧? 仔细看看这个版本主要修复的漏洞编号:CVE-2021-42550 续查了一下关于这个漏洞的信息如下: 该漏洞影响1.2.9以下的版本,攻击者可以通过编辑logback配置文件制作一个恶意的配置,允许执行从LDAP服务器加载
Logback也爆漏洞了,总结下最近log相关的几个漏洞
dotNET跨平台
12-28 7117
大家好,我是君哥,周末又要结束了。前些天 Apache Log4j2 接连报了几个重大漏洞,好在我们的系统使用的 logback,可当我们正庆幸的时候,logback 也爆出漏洞了。今天我...
Logback1.2.9以下也塌房了,快速修复Logback漏洞
DDDInJava
12-23 3821
今天Logback也出漏洞了,漏洞说明如下: 上次Log4j出漏洞时,就换成了Logback。万万没想到Logback,今天也塌房了。快速修复依赖如下:
【log4j漏洞研究】log4j通过slf4j转logback
DRD
05-10 1213
log4j项目 pom.xml <properties> <maven.compiler.source>8</maven.compiler.source> <maven.compiler.target>8</maven.compiler.target> <log.version>2.14.0</log.version> <!-- jdk7升级倒2.12.
Spring Boot 年前最后一个版本发布,一招解决 Log4j2Logback 漏洞。。
Java技术栈,分享最主流的Java技术
01-22 732
Spring Boot 2.6.3 发布 大家好,我是栈长。 最近,Spring Boot 又双叒叕更新了: 可以看到,Spring Boot 现在目前维护了 4 条版本线,但本次只更新了两个版本: 2.6.3 2.5.9 这可能是春节前的最后一次发版了。 关注公众号Java技术栈的小伙伴应该都知道,在前些天的《终于!Spring Boot 发布最新版,一招解决 Log4j2 核弹级漏洞!》一文中,栈长有解读到,为了应对及解决 Log4j2 的核弹级漏洞,以及 Logback 漏洞,Spring Bo
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gussu-毛虫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值