日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

  [[442038]]

成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務，包含不限于成都網(wǎng)站設計、成都網(wǎng)站制作、科爾沁網(wǎng)絡推廣、微信小程序、科爾沁網(wǎng)絡營銷、科爾沁企業(yè)策劃、科爾沁品牌公關、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們最大的嘉獎；成都創(chuàng)新互聯(lián)為所有大學生創(chuàng)業(yè)者提供科爾沁建站搭建服務，24小時服務熱線：18982081108，官方網(wǎng)址：www.cdcxhl.com

背景

前些天Log4j的漏洞，不知多少程序被抓去加班，關鍵漏洞還是接連出現(xiàn)的，真是辛苦了程序員，也辛苦了Log4j的開源作者。

為此，二師兄還專門寫了一篇還原漏洞的文章【原文點這里】。竟然有朋友在評論區(qū)說”就這么一個小漏洞，值得這么大肆的寫嗎?“?？磥砟俏慌笥堰€沒意識到漏洞的嚴重性。

本來以為使用的是Logback能夠躲過一劫，沒想到，又看到朋友圈在討論Logback的爆出的新漏洞，嚇得趕緊看了一下項目中的版本。

漏洞詳情

為了了解一下是什么情況，先去官網(wǎng)(https://logback.qos.ch/news.html)看看。在官網(wǎng)的News中可以看到，在12月16日更新了1.2.9版本。

Logback漏洞

通過上面的News可以看出，12月16日更新了1.2.9版本，并在描述中提示受影響的版本是小于1.2.9版本。

官方為了避免恐慌，特意強調(diào)：” Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels. “

也就是說，該漏洞與Log4j的漏洞根本不是一個級別的。所以，大家不必恐慌。

• 漏洞的被利用需要滿足三個條件：
• 擁有修改logback.xml的權限;
• Logback版本低于1.2.9版本;

重啟應用或者在攻擊之前將scan設置為true。

點擊上面的漏洞(編號：CVE-2021-42550)，看到最新修改日期是12月22日：

CVE-2021-42550

通過官網(wǎng)描述，可以知道：Logback 1.2.7(下面顯示為小于1.2.9)及以下版本中，存在安全漏洞，攻擊者可以通過更改 logback 配置文件添加惡意配置，從而可以執(zhí)行 LDAP 服務器上加載的任意代碼。

安全防護

看似挺嚴重的漏洞，但在上圖中描述漏洞的嚴重級別只有MEDIUM級，即中級。所以，不必過于恐慌，但如果有可能的話，還是選擇升級來確保系統(tǒng)的安全。

解決方案很簡單：除了將Logback升級到1.2.9版本，官方還建議將Logback的配置文件設置為只讀。

如果你使用的是Spring Boot的項目，除了新發(fā)布的2.5.8和2.6.2以外，Logback還都未升級到1.2.9版本。建議在pom.xml文件中升級一下Logback的版本：

 
 
 

  
  
  

  
  
  
    1.8
  
  
  
    1.2.9
  
  
  

 
 
 

 小結

Log4j的漏洞讓大家成了驚弓之鳥，但這次不必恐慌。軟件有漏洞存在是必然的客觀事實。發(fā)現(xiàn)漏洞，解決漏洞即可。但這些漏洞的發(fā)生給我們提了個醒兒：如何及時得知自己系統(tǒng)中所使用軟件是否存在漏洞?

如果你在思考上面的問題，其實本篇文章已經(jīng)給你提示了一個解決途徑：有事沒事看看所使用框架的官網(wǎng)版本更新。而本文的基本思路就是：得知漏洞消息，查看官網(wǎng)，進而得到漏洞信息及解決方案。其實，更進一步，還可以看看代碼中前后版本都改了什么代碼，那你將收獲更多。

新聞名稱：Log4j一波未平，Logback一波又起！再爆漏洞！！
標題網(wǎng)址：http://www.dlmjj.cn/article/djsehde.html