漏洞说明
2021 年12月16日,logback 1.2.9版本发布,该版本修复了logback中的一个远程代码执行漏洞(CVE-2021-42550)。
该漏洞影响了logback-classic组件,对logback配置文件具有写入权限的攻击者可以通过JNDI调用远程执行任意代码,但攻击者必须满足以下所有条件:
l 对logback.xml有写入权限;
l 使用logback<1.2.9的版本;
l 攻击之前的配置为scan="true"。
影响范围
logback 版本<= 1.2.7
漏洞的详细说明可查看网上介绍:https://www.venustech.com.cn/new_type/aqtg/20211227/23366.html
Logback远程代码执行漏洞(CVE-2021-42550)对smartbi的影响性说明
涉及版本:
license server 2022年2月11号之前的版本
其他smartbi相关组件未使用Logback。
漏洞处理方案
如果项目使用了2022年2月11号之前的license server,可申请更新到最新的license server 包。
