Log4j2安全漏洞方面就不多寫了，目前Log4j2漏洞安全整改的思路，是把存在漏洞的版本，升級至官方2.17正式版。

然后，上周有朋友把Log4j2又替換成Logback。這位朋友算是提供了另外一種對Log4j2漏洞安全整改的思路。不管最終對Logback安全性驗(yàn)證測試結(jié)果如何，能夠提出新的安全整改思路，是值得點(diǎn)贊。

我們對Logback做安全性驗(yàn)證方面的相關(guān)測試。由于有些單位還在使用Logback，為了不造成影響，此處就不能再往深寫了，還請諒解。

但最終測試結(jié)果是：Logback一樣中招。

聲明

今年9月份新的法律法規(guī)已經(jīng)施行，不允許私自隨便發(fā)布漏洞復(fù)現(xiàn)方面的。作者是在自己的內(nèi)網(wǎng)測試環(huán)境，做的相關(guān)測試。為了不惹麻煩，不做漏洞復(fù)現(xiàn)，只做“安全性驗(yàn)證測試”。不提供任何漏洞poc、exp、漏洞工具等。

存在漏洞的主要原因

由于Logback和Log4j都是一個 “爹” 設(shè)計(jì)、編寫的，所以在漏洞挖掘和漏洞利用方面上，是有 “異曲同工之妙” =。=

有些單位還在使用Logback，為了不造成影響，此處就不能再往深寫了，還請諒解。

相關(guān)的圖片在網(wǎng)上能搜到，如需要請自行搜索。

安全整改建議

1、還在使用Log4j 1.x、Log4j 2.x、Logback的單位，建議升級到Log4j2 2.17官方正式版本。

2、版本升級不像打補(bǔ)丁那么簡單，涉及到很多方方面面，需要有軟件開發(fā)單位和網(wǎng)絡(luò)安全服務(wù)單位的通力配合。

3、雖然版本升級需要消耗大量的時間、精力、人力，但建議能升級還是盡量升級吧。不要把希望都放到某些網(wǎng)絡(luò)安全產(chǎn)品上，因?yàn)槟承┊a(chǎn)品自身就有漏洞，自己都保不了自己，又如何能保你？

4、再次強(qiáng)調(diào)一點(diǎn)，在版本升級的時候，需要同步升級JDK。

5、安全整改前，建議搭建測試環(huán)境，做好相關(guān)的測試工作，沒有問題在正式環(huán)境做安全整改工作。
6、我們做安全整改后的復(fù)查工作，發(fā)現(xiàn)某些已經(jīng)“做完安全整改”的系統(tǒng)，漏洞居然還可以利用。原因是出在做安全整改的技術(shù)團(tuán)隊(duì)，可能不是太懂，只是照著網(wǎng)上搜到某些文章“照葫蘆畫瓢”做得“安全整改工作”。
7、如果條件允許，建議聘請具備較強(qiáng)實(shí)戰(zhàn)攻防能力的專業(yè)網(wǎng)絡(luò)安全服務(wù)商，協(xié)助做網(wǎng)絡(luò)安全整改工作。安全整改后做漏洞復(fù)查工作，要以實(shí)戰(zhàn)攻防方式來驗(yàn)證整改效果。
8、如果不會做安全排查、安全整改工作，不清楚是否已經(jīng)被黑客攻擊，可以和我們聯(lián)系。

來源：https://mp.weixin.qq.com/s/Dj7jLj_PqdosuKVtb-bkNQ

如有侵刪

END

2021年Java原創(chuàng)面試題庫連載中

更多內(nèi)容，點(diǎn)擊上方名片查看