今天一早,還沒起床,拿起手機赫然看到一個頭條資訊,標題著實讓我心理咯噔了一下!
馬上起床,直奔官網,看看到底什麼問題?塌的有多厲害?
既然是1.2.9版本以下問題,那就直接找到1.2.9版本修復了些啥,一看是12月16日釋出的,已經有幾天了,初步判斷,應該問題不大吧?
仔細看看這個版本主要修復的漏洞編號:CVE-2021-42550
繼續查了一下關於這個漏洞的資訊如下:
該漏洞影響1.2.9以下的版本,攻擊者可以通過編輯logback配置檔案製作一個惡意的配置,允許執行從LDAP伺服器載入的任意程式碼!
看描述似乎挺嚴重?其實並沒有想象的那麼嚴重。從上圖中的,其實也可以發現,該漏洞的嚴重程度只是MEDIUM級別。
為避免恐慌(畢竟這兩週被log4j2折騰的不輕),官方新聞中也醒目提示:該漏洞與log4Shell是完全不同的嚴重級別,因為logback的這個漏洞有一個前提:攻擊者得有寫logback配置檔案的許可權才行!
當然,如果您當心系統級別的安全做的比較粗糙,對應用的安全還是不放心,也可以選擇升級logback的版本來加固該潛在問題的防禦。
因為DD這邊Spring Boot使用者比較多,順手去看了一下Spring Boot版本與Logback的版本關係,除了剛釋出不久的2.6.2和2.5.8用了1.2.9之外,之前的版本都在受影響範圍之內。如果您正在學習Spring Boot,那麼推薦一個連載多年還在繼續更新的免費教程:https://blog.didispace.com/sp...
所以,2.6.x和2.5.x使用者直接升級小版本就可以了。如果是之前的版本,那麼就老辦法,在properties裡增加配置logback.version即可,比如下面這樣:
另外,除了升級版本之外,官方還建議使用者將logback的配置檔案設定為只讀許可權。
最後說一句,不要太慌,慢慢來,這個沒有log4j2那麼嚴重!
好了,今天的分享就到這裡!如果您學習過程中如遇困難?可以加入我們超高質量的Spring技術交流群,參與交流與討論,更好的學習與進步!
歡迎關注我的公眾號:程式猿DD。第一時間瞭解前沿行業訊息、分享深度技術乾貨、獲取優質學習資源