DD составляет список Nuggets. Если моя публикация помогла вам, вы можете прийти и проголосовать за меня. Призы за рейтинги не требуются и будут вручены участникам в конце. заинтересованные партнерыНажмите, чтобы принять участие
Этим утром, прежде чем я встал, я взял свой телефон и увидел заголовок сообщения, заголовок действительно дал мне вздохнуть с облегчением!
Вставай сейчас, иди прямоОфициальный сайт, чтобы увидеть, в чем проблема? Насколько сильно он рухнул?
Так как это проблема ниже версии 1.2.9, то непосредственно узнайте, что исправлено в версии 1.2.9.Похоже, она вышла 16 декабря, и прошло несколько дней.Предварительное суждение, это не должно быть большая проблема, да?
Внимательно изучите номер ошибки, которая в основном исправлена в этом выпуске: CVE-2021-42550.
Продолжайте проверять информацию об этой уязвимости следующим образом:
Уязвимость затрагивает версии ниже 1.2.9. Злоумышленник может отредактировать файл конфигурации журнала, чтобы создать вредоносную конфигурацию, позволяющую выполнять произвольный код, загружаемый с сервера LDAP!
Судя по описанию, серьезно? На самом деле все не так серьезно, как предполагалось. Из приведенного выше рисунка видно, что серьезность уязвимости составляет только СРЕДНИЙ уровень.
Во избежание паники (ведь log4j2 мучает log4j2 последние две недели) в официальных новостях также подчеркивается: эта уязвимость совершенно другого уровня серьезности, чем log4Shell, потому что эта уязвимость logback имеет предпосылку: Злоумышленник должен записать конфигурацию журнала. Работают только права доступа к файлам!
Конечно, если вы заботитесь о безопасности на уровне системы и все еще беспокоитесь о безопасности своего приложения, вы также можете обновить версию журнала, чтобы усилить защиту от этой потенциальной проблемы.
Потому что здесь больше весенних загрузочных пользователей DD легко видят битовые версии отношения с версией Bit Spring Boot, за исключением вскоре после выпуска 2.6.2 и 2.5.8 1.2.9 снаружи, предыдущая версия подлежит в рамках сферы влияния Отказ Если вы изучаете Spring Boot, рекомендуется, чтобы серийный бесплатные учебники продолжали обновлять:Блог Brother Space.com/spring-boot...
Таким образом, пользователи версий 2.6.x и 2.5.x могут напрямую обновить минорную версию. Если это предыдущая версия, то старый способ заключается в добавлении конфигурации logback.version в свойствах, таких как следующие:
Кроме того, помимо обновления версии, официальный представитель также рекомендует пользователям установить для файла конфигурации логбэка права только на чтение.
Наконец, не паникуйте, не торопитесь, это не так серьезно, как log4j2!
последний из последних! DD составляет список Nuggets. Если моя публикация помогла вам, вы можете прийти и проголосовать за меня. Призы за рейтинги не требуются и будут вручены участникам в конце. заинтересованные партнерыНажмите, чтобы принять участие
Эта статья была впервые опубликована на моем официальном аккаунте: Programmer DD. Сосредоточьтесь на том, чтобы делиться последними отраслевыми новостями и информацией о передовых технологиях, обращайте внимание на то, как я впервые собираю последние передовые технологии, и накапливайте капитал, чтобы технические специалисты могли их обгонять в поворотах.