Logback 也爆漏洞了，分析下最近log相关的几个漏洞

发布时间：2021-12-28 09:21 所属栏目：53 来源：互联网

导读：前些天 Apache Log4j2 接连报了几个重大漏洞，好在我们的系统使用的 logback，可当我们正庆幸的时候，logback 也爆出漏洞了。今天我们一起来看一下这几个漏洞。 CVE-2021-42550 先看一下官方的漏洞描述： In logback version 1.2.7 and prior versions, an at

前些天 Apache Log4j2 接连报了几个重大漏洞，好在我们的系统使用的 logback，可当我们正庆幸的时候，logback 也爆出漏洞了。今天我们一起来看一下这几个漏洞。

CVE-2021-42550
先看一下官方的漏洞描述：

In logback version 1.2.7 and prior versions, an attacker with the required privileges to edit configurations files could craft a malicious configuration allowing to execute arbitrary code loaded from LDAP servers.

The vulnerability is considered to pose a lesser threat than log4shell because it requires access to logback's configuration file by the attacker, sign of an already compromised system.This CVE-2021-42550 is intended to prevent an escalation of an existing flaw to a higher threat level.

CVE-2021-45046
CVE-2021-44228 的一种形式，如启 Log4j2 用日志配置查找(例如，$${ctx：loginId})或上下文映射模式(%X、%mdc或%MDC)时，将允许远程攻击者使用JNDI查找模式加载恶意类，从而导致远程代码执行或信息漏洞等风险。

这个漏洞只对使用 log4j-core 的应用受影响。

影响范围：2.0 <= Apache log4j

建议：将 Log4j2 升级到 1.17.0。

CVE-2021-45105
由于 Log4j2 某些特殊配置，使用非默认的模式布局和上下文查找(例如，$${ctx：loginId})时，攻击者可以通过构造包含递归查找数据包的方式，控制线程上下文映射 (MDC)，导致 StackOverflowError 产生并终止进程，实现拒绝服务攻击。

（编辑：ASP站长网）