logback漏洞、继log4j2之后logback也发现了问题？

前两天因为log4j2的问题许多公司估计都通宵达旦的加班看版本改BUG了，但最近Logback也被发现相同问题。

logback漏洞说明

下面是一个漏洞检测机构搜集到的消息。

在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外，还有一个可用的探索。

CVE 摘要是：

在 logback 版本 1.2.7 和之前的版本中，具有编辑配置文件所需权限的攻击者可以制作恶意配置，允许执行从 LDAP 服务器加载的任意代码。

该漏洞被标识为CVE-2021-42550。CVE 的归属发生在 2021 年 10 月 15 日。攻击可以从网络发起。没有可用的技术细节。攻击的复杂性相当高。据说可利用性很困难。该漏洞并不为人所知。此外，还有一个可用的探索。该探索已向公众发布，可以使用。

英文

中文翻译


中文翻译

英文

github地址

这事一个触发logBack发生Bug的案例，里面有详细的漏洞分析，感兴趣的可以去看一看。

介绍：

该项目是SpringBoot编写的一个简单的漏洞Demo环境。在这里，我特意写了一个有任意文件上传的漏洞环境，然后利用loghack配置文件中的scan属性配合logback漏洞实现RCE。

想了解的点这里：传送门????

总结

主要引起漏洞的原因和Log4j2相同，但是并没有像Log4j2那么的凶，因为这个漏洞不是百分百能触发的，需要特定的条件才可能出现安全问题。但是既然爆出来，还是防范于未然比较好。

触发条件：

• logback的配置文件可以修改或覆盖
• 能够使修改后的配置文件生效

主要影响的版本为：logback version < 1.2.9 和 logback version < 1.3.0-alpha11