Log4j2 消停了，Logback 开始塌房了？

在我起床之前，我拿起手机，突然看到一条头条新闻。标题真的让我感到心理！

立即起床，直奔官网，看看到底有什么问题？塌得有多厉害？

既然是1.2.9版以下的问题，那就直接找出1.2.9版修复了什么。12月16日发布已经好几天了。初步判断应该不是什么大问题。

本版主要修复的漏洞编号：CVE-2021-4250。

继续查看这个漏洞的信息如下:

 该漏洞影响1.2.9以下的版本，攻击者可以通过编辑logback配置文件来制作恶意配置，允许从LDAP服务器加载任何代码！

描述似乎很严重吗？事实上，它并不像预期的那么严重。从上图中，我们还可以发现漏洞的严重程度只是MEDIUM级别。

为了避免恐慌(毕竟这两周被log4j2折腾了)，官方新闻也提醒:这个漏洞和log4shell完全不同，因为logback的漏洞有一个前提:攻击者必须有权写logback配置文件！

 当然，如果您对系统级别的安全粗糙，对应用程序的安全应用程序的安全，您也可以选择升级logback版本来加强潜在问题的防御。

因此，2.6.x和2.5.x用户可以直接升级小版本。如果是之前的版本，那么老办法，在properties中添加logback.version，如下：

 此外，除升级版外，官方还建议用户将logback配置文件设置为只读权限。

最后，不要太慌，慢慢来，没有log4j2那么严重！