前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >也爆雷了。。。

也爆雷了。。。

作者头像
纯洁的微笑
发布2021-12-27 15:00:44
3850
发布2021-12-27 15:00:44
举报
文章被收录于专栏:纯洁的微笑纯洁的微笑

1

Logback 又爆雷

我感觉今年日志组件有点犯太岁。

Lo4j2 连着几个版本爆出大雷之后,在上周 Logback 也爆雷了!

我记得上一次Lo4j2 爆雷之后,部分朋友给出的解决方案之一,就是替换 Lo4j2 为 Logback。

如果真的这样干了....

也没事 :)

因为这次爆出的 Bug 并不是很严重,漏洞的级别定位为中等,影响的范围和程度不是那么的大。

并且官方也知道 Lo4j2 之前的事情搞得有点大,这次在披露漏洞时,还特意的强调了一下这和Lo4j2的情况不一样。

那,怎么一个不一样呢?

2

漏洞等级

在开源的世界里,漏洞等级一般会分为4个

  • Low 低危
  • Medium 中危
  • High 高危
  • Critical 严重

每次出现安全漏洞之后,有一套漏洞评估体系根据影响大小打分,分数落到哪个区间就是哪个等级。

这里重点介绍一下中危和高危,因为本次 Logback 爆出的漏洞等级就是中危,上次 Lo4j2 爆出的漏洞是高危

中危的漏洞一般需要用户权限才能执行,也就是说你没有拿到这个权限,就算知道有漏洞也执行不了。

高危就比较厉害了,可能会导致特权提升拿到权限,拿到权限后就真的可以为所欲为了。

本次攻击者想要利用这个漏洞,需要同时满足下面三个条件:

  • 1、具有修改 logback.xml 的权限
  • 2、Logback 版本低于 1.2.9
  • 3、重启应用或者是在攻击之前将 scan 设为 "true"(scan="true")

所以使用 Logback 的小伙伴,也不用太着急,大家接着往下看。

3

解决方案

一些瓜

当然虽然级别不低,它也毕竟是一个漏洞,所以如果不是很麻烦的话,建议大家都修补一下。

修补的方式也非常的简单,就是将 Logback 升级到 1.2.10,就可以解决了。

代码语言:javascript
复制
<properties>
    ...
    <logback.version>1.2.10</logback.version>
</properties>

当然了如果还不放心,建议把 logback 日志配置文件设置为只读,进一步封死配置文件被篡改所引发的漏洞。

在文章的最后,我还发现 logback 和 Lo4j 1.x/2.x还有一段小故事,我在 logback 的官网看到有这样一段话:

Logback is intended as a successor to the popular log4j project, picking up where log4j 1.x leaves off.

意思就是 logback 借鉴了 log4j 1.x 优秀的部分,同时也避免了 log4j 1.x 设计不好的地方。

这是因为 logback 的作者其实也是 log4j 曾经的作者之一,所以 logback 其实是 log4j 1.X 的一个改良版本。

而 log4j 2 是对 Log4j 的升级,它比其前身 log4j 1.x 做出了重大优化,并提供了 logback 中可用的许多改进,同时修复了 logback 架构中的一些问题。

也就是说 log4j 2 是在 log4j 1.X 和 logback 的经验基础上开发而出,真是相爱相杀的一对日志组件呀。

开源软件相互借鉴也是常有的事儿,并且站在前人的基础上,才能走得更高更远!

部分内容参考:

Hollis-Log4j未平,Logback 又起!再爆漏洞!!

https://logback.qos.ch/news.html

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2021-12-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 纯洁的微笑 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档