Log4j2 消停了，Logback 开始塌房了？

作者：程序猿DD
博客：https://blog.didispace.com/logback-CVE-2021-42550/

今天一早，还没起床，拿起手机赫然看到一个头条信息，标题着实让我心理咯噔了一下！

马上起床，直奔官网（https://logback.qos.ch/news.html），看看到底什么问题？塌的有多厉害？

既然是1.2.9版本以下问题，那就直接找到1.2.9版本修复了些啥，一看是12月16日发布的，已经有几天了，初步判断，应该问题不大吧？

仔细看看这个版本主要修复的漏洞编号：CVE-2021-42550

继续查了一下关于这个漏洞的信息如下：

该漏洞影响1.2.9以下的版本，攻击者可以通过编辑logback配置文件制作一个恶意的配置，允许执行从LDAP服务器加载的任意代码！

看描述似乎挺严重？其实并没有想象的那么严重。从上图中的，其实也可以发现，该漏洞的严重程度只是MEDIUM级别。

为避免恐慌（毕竟这两周被log4j2折腾的不轻），官方新闻中也醒目提示：该漏洞与log4Shell是完全不同的严重级别，因为logback的这个漏洞有一个前提：攻击者得有写logback配置文件的权限才行！

当然，如果您当心系统级别的安全做的比较粗糙，对应用的安全还是不放心，也可以选择升级logback的版本来加固该潜在问题的防御。

因为DD这边Spring Boot用户比较多，顺手去看了一下Spring Boot版本与Logback的版本关系，除了刚发布不久的2.6.2和2.5.8用了1.2.9之外，之前的版本都在受影响范围之内。如果您正在学习Spring Boot，那么推荐一个连载多年还在继续更新的免费教程：https://blog.didispace.com/spring-boot-learning-2x/

所以，2.6.x和2.5.x用户直接升级小版本就可以了。如果是之前的版本，那么就老办法，在properties里增加配置logback.version即可，比如下面这样：

另外，除了升级版本之外，官方还建议用户将logback的配置文件设置为只读权限。

最后说一句，不要太慌，慢慢来，这个没有log4j2那么严重！

我的公众号：程序猿DD，专注分享行业最新消息和前沿技术资讯，关注我第一时间积累最新前沿，积累技术人弯道超车的资本