在上个月发生log4j shell问题之前,我使用的是“org.springframework. Boot :spring-boot-starter-logging:1.5.22.RELEASE”,它分别依赖于ch.qos.logback:logback-classic:1.1.11和ch.qos.logback:logback-core:1.1.11 jar文件。
在发生log4j shell问题之后,我已经将两个jar文件升级到了ch.qos.logback:logback-classic:1.2.3和ch.qos.logback:logback-core:1.2.3版本,gradle v3.5运行正常。现在,当我尝试将jar文件升级到logback-classic:1.2.10和logback-core:1.2.10时,我在运行应用程序时会停止运行,并出现以下错误:org.gradle.tooling.BuildException: Could not execute build using Gradle distribution 'https://services.gradle.org/distributions/gradle-3.5-all.zip'.
我需要升级到更高版本的Grails或Gradle 3.5吗?如果升级有任何问题,请提供任何提示或指导。
1条答案
按热度按时间z9zf31ra1#
从https://logback.qos.ch/news.html开始
我们注意到CVE-2021-42550中提到的漏洞需要对logback的配置文件具有写权限作为先决条件。请理解log 4Shell和CVE-2021-42550的严重级别不同。为了响应CVE-2021-42550(aka LOGBACK-1591)我们已决定执行以下步骤。1)强化logback的JNDI查找机制,以便仅荣誉java:命名空间。所有其他类型的请求都将被忽略。非常感谢Michael Osipov建议进行此更改并提供相关的PR。2)SMTPAppender得到了加强。3)出于安全原因,暂时删除了DB支持。4)删除了Groovy配置支持。由于日志记录非常普遍,而使用Groovy进行的配置可能功能过于强大,出于安全原因,此功能不太可能恢复。我们注意到,上述漏洞需要对logback的配置文件具有写入权限作为先决条件。请理解,log 4Shell/CVE-2021-44228和CVE-2021- 42550具有不同的严重性级别。使用CVE-2021-42550的成功RCE攻击需要满足以下所有条件:对logback.xml的写访问使用〈1.2.9的版本重新加载中毒的配置数据,这意味着在攻击之前重新启动应用程序或设置scan=“true”作为额外的预防措施,除了升级到logback版本1.2.9之外,我们还建议用户将其logback配置文件设置为只读
目前还不支持Grails,因此不支持v1.2.9以后的回登录。