蛋了,Logback也炸了。。。

Java架构师社区

共 1403字,需浏览 3分钟

 ·

2022-01-03 08:39

关注我们,设为星标,每天7:30不见不散,架构路上与您共享 

回复"架构师"获取资源


大家好,我是架构君,一个会写代码吟诗的架构师。



Log4j2安全漏洞方面就不多写了,目前Log4j2漏洞安全整改的思路,是把存在漏洞的版本,升级至官方2.17正式版。

然后,上周有朋友把Log4j2又替换成Logback。这位朋友算是提供了另外一种对Log4j2漏洞安全整改的思路。不管最终对Logback安全性验证测试结果如何,能够提出新的安全整改思路,是值得点赞。

我们对Logback做安全性验证方面的相关测试。由于有些单位还在使用Logback,为了不造成影响,此处就不能再往深写了,还请谅解。

但最终测试结果是:Logback一样中招。


声明

今年9月份新的法律法规已经施行,不允许私自随便发布漏洞复现方面的。作者是在自己的内网测试环境,做的相关测试。为了不惹麻烦,不做漏洞复现,只做“安全性验证测试”。不提供任何漏洞poc、exp、漏洞工具等。

存在漏洞的主要原因

由于Logback和Log4j都是一个 “爹” 设计、编写的,所以在漏洞挖掘和漏洞利用方面上,是有 “异曲同工之妙” =。=

有些单位还在使用Logback,为了不造成影响,此处就不能再往深写了,还请谅解。

相关的图片在网上能搜到,如需要请自行搜索。

安全整改建议

1、还在使用Log4j 1.x、Log4j 2.x、Logback的单位,建议升级到Log4j2 2.17官方正式版本。

2、版本升级不像打补丁那么简单,涉及到很多方方面面,需要有软件开发单位和网络安全服务单位的通力配合。

3、虽然版本升级需要消耗大量的时间、精力、人力,但建议能升级还是尽量升级吧。不要把希望都放到某些网络安全产品上,因为某些产品自身就有漏洞,自己都保不了自己,又如何能保你?

4、再次强调一点,在版本升级的时候,需要同步升级JDK。

5、安全整改前,建议搭建测试环境,做好相关的测试工作,没有问题在正式环境做安全整改工作。

6、我们做安全整改后的复查工作,发现某些已经“做完安全整改”的系统,漏洞居然还可以利用。原因是出在做安全整改的技术团队,可能不是太懂,只是照着网上搜到某些文章“照葫芦画瓢”做得“安全整改工作”。

7、如果条件允许,建议聘请具备较强实战攻防能力的专业网络安全服务商,协助做网络安全整改工作。安全整改后做漏洞复查工作,要以实战攻防方式来验证整改效果。

8、如果不会做安全排查、安全整改工作,不清楚是否已经被黑客攻击,可以和我们联系。


到此文章就结束了。如果今天的文章对你在进阶架构师的路上有新的启发和进步,欢迎转发给更多人。欢迎加入架构师社区技术交流群,众多大咖带你进阶架构师,在后台回复“加群”即可入群。



这些年小编给你分享过的干货


1.idea永久激活码(亲测可用)

2.优质ERP系统带进销存财务生产功能(附源码)

3.优质SpringBoot带工作流管理项目(附源码)

4.最好用的OA系统,拿来即用(附源码)

5.SBoot+Vue外卖系统前后端都有(附源码

6.SBoot+Vue可视化大屏拖拽项目(附源码)



转发在看就是最大的支持❤️

浏览 22
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报