近日，Apache Log4j2漏洞风波尚未平息，Logback也爆出了新漏洞。

通过Logback官网描述了解到，Logback 1.2.9以下版本中，存在安全漏洞，攻击者可以通过更改logback配置文件添加恶意配置，从而可以执行LDAP服务器上加载的任意代码。

松一口气的是，Logback的这个漏洞与Log4j的漏洞不是一个级别的，并不会像Log4j那样严重。官方为了避免恐慌，也特意强调：”Please understand that log4Shell/CVE-2021-44228 and CVE-2021-42550 are of different severity levels. “

Logback官方的修复速度也是非常给力，短时间内发布了5个版本。用户通过把Logback版本升级到1.2.9和把logback.xml文件配置为只读就可以避开这个漏洞。

尽管Logback这个漏洞并未产生严重影响，描述漏洞的严重级别也只有MEDIUM级，但因为Log4j漏洞数周以来带来的严重影响，大家已经对于漏洞的爆出十分敏感了。这些漏洞的发生也给大家敲响了警钟，企业组织需要及时通过各种途径了解自己的系统中是否存在安全漏洞，要及时对漏洞进行响应处理，规避可能的大规模网络攻击。

当前，快速发展的网络信息技术让网络攻击形式愈发组织化、复杂化，攻击手法多变难以预测。而信息系统的日益复杂，导致系统脆弱性的种类及数量也爆炸性增长，致使网络攻击更易利用系统脆弱性。因此，各组织运营者可安装部署聚铭网络旗下的聚铭网络脆弱性扫描系统来解决漏洞检测管理问题。

聚铭网络脆弱性扫描系统（简称：CSV）是由聚铭网络自主研发的一款自动化全面安全检测系统。系统拥有系统漏洞扫描、Web漏洞扫描、安全基线合规性检查、配置变更检查、弱口令扫描五大安全扫描引擎，可一键全面解决脆弱性检测的需求。

系统会主动地对内网中的主机、Web、弱口令、配置基线、配置变更五个层面进行扫描检测，然后进行探测和匹配（漏洞库、基线策略）找出问题隐患，最终形成带有解决方案的完整的安全报告，帮助企业针对系统进行安全加固，解决安全隐患。

系统可广泛应用于系统日常安全运维包括设备入网、日常运维、安全检查、项目验收等场景，为客户提供合规安全专项检查及安全风险评估服务。

目前，聚铭网络脆弱性扫描系统作为聚铭网络旗下重要的安全产品之一，已在医疗、能源、互联网、金融、教育、政府等众多行业得到了广泛应用。

聚铭网络时刻关注跟踪安全市场风险动态，为行业客户提供7*24小时网络安全防护建设服务，欢迎有需求的机构厂商前来咨询了解。

---- END ----