logback漏洞、继log4j2之后logback也发现了问题?

前两天因为log4j2的问题许多公司估计都通宵达旦的加班看版本改BUG了,但最近Logback也被发现相同问题。

logback漏洞说明

下面是一个漏洞检测机构搜集到的消息。

在 1.2.7 之前的 logback 中发现了一个归类为有问题的漏洞。受影响的是配置文件处理程序组件的未知功能。处理未知条目会导致扩展权限。该漏洞被标识为CVE-2021-42550。攻击可以从网络发起。此外,还有一个可用的探索。

CVE 摘要是

在 logback 版本 1.2.7 和之前的版本中,具有编辑配置文件所需权限的攻击者可以制作恶意配置,允许执行从 LDAP 服务器加载的任意代码。

该漏洞被标识为CVE-2021-42550。CVE 的归属发生在 2021 年 10 月 15 日。攻击可以从网络发起。没有可用的技术细节。攻击的复杂性相当高。据说可利用性很困难。该漏洞并不为人所知。此外,还有一个可用的探索。该探索已向公众发布,可以使用。

英文
在这里插入图片描述
中文翻译
在这里插入图片描述
在这里插入图片描述
中文翻译
在这里插入图片描述
英文
在这里插入图片描述

github地址

这事一个触发logBack发生Bug的案例,里面有详细的漏洞分析,感兴趣的可以去看一看。

介绍:

该项目是SpringBoot编写的一个简单的漏洞Demo环境。在这里,我特意写了一个有任意文件上传的漏洞环境,然后利用loghack配置文件中的scan属性配合logback漏洞实现RCE。

想了解的点这里传送门🐕🐕🐕🐕

在这里插入图片描述

总结

主要引起漏洞的原因和Log4j2相同,但是并没有像Log4j2那么的凶,因为这个漏洞不是百分百能触发的,需要特定的条件才可能出现安全问题。但是既然爆出来,还是防范于未然比较好。

触发条件:

  • logback的配置文件可以修改或覆盖
  • 能够使修改后的配置文件生效

主要影响的版本为:logback version < 1.2.9logback version < 1.3.0-alpha11

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>