推荐阅读:《服了!Log4j2 再再爆雷,Log4j v2.17.0 横空出世。。。》
1.Logback 又爆雷
我感觉今年日志组件有点犯太岁。
Lo4j2 连着几个版本爆出大雷之后,在上周 Logback 也爆雷了!
我记得上一次Lo4j2 爆雷之后,部分朋友给出的解决方案之一,就是替换 Lo4j2 为 Logback。
如果真的这样干了….
也没事 :)
因为这次爆出的 Bug 并不是很严重,漏洞的级别定位为中等,影响的范围和程度不是那么的大。
并且官方也知道 Lo4j2 之前的事情搞得有点大,这次在披露漏洞时,还特意的强调了一下这和Lo4j2的情况不一样。
那,怎么一个不一样呢?
2.漏洞等级
在开源的世界里,漏洞等级一般会分为4个
Low 低危
Medium 中危
High 高危
Critical 严重
每次出现安全漏洞之后,有一套漏洞评估体系根据影响大小打分,分数落到哪个区间就是哪个等级。
这里重点介绍一下中危和高危,因为本次 Logback 爆出的漏洞等级就是中危,上次 Lo4j2 爆出的漏洞是高危。
中危的漏洞一般需要用户权限才能执行,也就是说你没有拿到这个权限,就算知道有漏洞也执行不了。
高危就比较厉害了,可能会导致特权提升拿到权限,拿到权限后就真的可以为所欲为了。
本次攻击者想要利用这个漏洞,需要同时满足下面三个条件:
1、具有修改 logback.xml 的权限
2、Logback 版本低于 1.2.9
3、重启应用或者是在攻击之前将 scan 设为 “true”(scan=”true”)
所以使用 Logback 的小伙伴,也不用太着急,大家接着往下看。
3.解决方案和一些瓜
当然虽然级别不低,它也毕竟是一个漏洞,所以如果不是很麻烦的话,建议大家都修补一下。
修补的方式也非常的简单,就是将 Logback 升级到 1.2.10,就可以解决了。
当然了如果还不放心,建议把 logback 日志配置文件设置为只读,进一步封死配置文件被篡改所引发的漏洞。
在文章的最后,我还发现 logback 和 Lo4j 1.x/2.x还有一段小故事,我在 logback 的官网看到有这样一段话:
Logback is intended as a successor to the popular log4j project, picking up where log4j 1.x leaves off.
意思就是 logback 借鉴了 log4j 1.x 优秀的部分,同时也避免了 log4j 1.x 设计不好的地方。
这是因为 logback 的作者其实也是 log4j 曾经的作者之一,所以 logback 其实是 log4j 1.X 的一个改良版本。
而 log4j 2 是对 Log4j 的升级,它比其前身 log4j 1.x 做出了重大优化,并提供了 logback 中可用的许多改进,同时修复了 logback 架构中的一些问题。
也就是说 log4j 2 是在 log4j 1.X 和 logback 的经验基础上开发而出,真是相爱相杀的一对日志组件呀。
开源软件相互借鉴也是常有的事儿,并且站在前人的基础上,才能走得更高更远!
部分内容参考:Hollis-Log4j未平,Logback 又起!再爆漏洞!!https://logback.qos.ch/news.html
写在最后
了不起的程序员摸鱼基地成立了!!!
了不起的程序员读者交流群正式为大家开放了,加入群聊来一起聊聊大家现在睡的床属于漫画中什么阶段,也可以一起摸鱼吃瓜分享技术!
感兴趣的朋友,可以下方公号后台回复:111
——fin.——
我的星球用户马上突破 5000人,本月做最后一次活动,送出 100 张 89 元优惠券,仅剩 60 张送完为止。
(长按识别二维码,可以预览星球内容)
星球叫做就聊挣钱,但不止于聊挣钱!它是一个帮助人成长的社群,特别是在挣钱、见识、商业思维上有一定的帮助。
可以给大家承诺的是,现在使用优惠券后的价格,不但过了 12 月不会再有,星球的以后也不会有这个价格了。
建议大家一定要在 12 月份加入,不只是新加入,就连老用户的续费也是最低的(老用户续费,公号内回复:续费)。
微信扫描二维码,关注一个有故事的程序员
(点击了解: 关于程序员的专属导航!)