日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Log4j一波未平,Logback一波又起!再爆漏洞??!

  [[442038]]

成都創(chuàng)新互聯(lián)專(zhuān)注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、科爾沁網(wǎng)絡(luò)推廣、微信小程序、科爾沁網(wǎng)絡(luò)營(yíng)銷(xiāo)、科爾沁企業(yè)策劃、科爾沁品牌公關(guān)、搜索引擎seo、人物專(zhuān)訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等,從售前售中售后,我們都將竭誠(chéng)為您服務(wù),您的肯定,是我們最大的嘉獎(jiǎng);成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供科爾沁建站搭建服務(wù),24小時(shí)服務(wù)熱線:18982081108,官方網(wǎng)址:www.cdcxhl.com

背景

前些天Log4j的漏洞,不知多少程序被抓去加班,關(guān)鍵漏洞還是接連出現(xiàn)的,真是辛苦了程序員,也辛苦了Log4j的開(kāi)源作者。

為此,二師兄還專(zhuān)門(mén)寫(xiě)了一篇還原漏洞的文章【原文點(diǎn)這里】。竟然有朋友在評(píng)論區(qū)說(shuō)”就這么一個(gè)小漏洞,值得這么大肆的寫(xiě)嗎?“。看來(lái)那位朋友還沒(méi)意識(shí)到漏洞的嚴(yán)重性。

本來(lái)以為使用的是Logback能夠躲過(guò)一劫,沒(méi)想到,又看到朋友圈在討論Logback的爆出的新漏洞,嚇得趕緊看了一下項(xiàng)目中的版本。

漏洞詳情

為了了解一下是什么情況,先去官網(wǎng)(https://logback.qos.ch/news.html)看看。在官網(wǎng)的News中可以看到,在12月16日更新了1.2.9版本。

Logback漏洞

通過(guò)上面的News可以看出,12月16日更新了1.2.9版本,并在描述中提示受影響的版本是小于1.2.9版本。

官方為了避免恐慌,特意強(qiáng)調(diào):” Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels. “

也就是說(shuō),該漏洞與Log4j的漏洞根本不是一個(gè)級(jí)別的。所以,大家不必恐慌。

  • 漏洞的被利用需要滿足三個(gè)條件:
  • 擁有修改logback.xml的權(quán)限;
  • Logback版本低于1.2.9版本;

重啟應(yīng)用或者在攻擊之前將scan設(shè)置為true。

點(diǎn)擊上面的漏洞(編號(hào):CVE-2021-42550),看到最新修改日期是12月22日:

CVE-2021-42550

通過(guò)官網(wǎng)描述,可以知道:Logback 1.2.7(下面顯示為小于1.2.9)及以下版本中,存在安全漏洞,攻擊者可以通過(guò)更改 logback 配置文件添加惡意配置,從而可以執(zhí)行 LDAP 服務(wù)器上加載的任意代碼。

安全防護(hù)

看似挺嚴(yán)重的漏洞,但在上圖中描述漏洞的嚴(yán)重級(jí)別只有MEDIUM級(jí),即中級(jí)。所以,不必過(guò)于恐慌,但如果有可能的話,還是選擇升級(jí)來(lái)確保系統(tǒng)的安全。

解決方案很簡(jiǎn)單:除了將Logback升級(jí)到1.2.9版本,官方還建議將Logback的配置文件設(shè)置為只讀。

如果你使用的是Spring Boot的項(xiàng)目,除了新發(fā)布的2.5.8和2.6.2以外,Logback還都未升級(jí)到1.2.9版本。建議在pom.xml文件中升級(jí)一下Logback的版本:

 
 
 
    
  
  
  
    2. 
  
  
  
  2.     1.8
    3. 
  
  
  
  3.     1.2.9
    4. 
  
  
  
  4.

 小結(jié)

Log4j的漏洞讓大家成了驚弓之鳥(niǎo),但這次不必恐慌。軟件有漏洞存在是必然的客觀事實(shí)。發(fā)現(xiàn)漏洞,解決漏洞即可。但這些漏洞的發(fā)生給我們提了個(gè)醒兒:如何及時(shí)得知自己系統(tǒng)中所使用軟件是否存在漏洞?

如果你在思考上面的問(wèn)題,其實(shí)本篇文章已經(jīng)給你提示了一個(gè)解決途徑:有事沒(méi)事看看所使用框架的官網(wǎng)版本更新。而本文的基本思路就是:得知漏洞消息,查看官網(wǎng),進(jìn)而得到漏洞信息及解決方案。其實(shí),更進(jìn)一步,還可以看看代碼中前后版本都改了什么代碼,那你將收獲更多。


分享標(biāo)題:Log4j一波未平,Logback一波又起!再爆漏洞!!
分享網(wǎng)址:http://m.5511xx.com/article/djsehde.html