01 SOP基本信息

• SOP名称：logback 代码问题漏洞（CVE-2023-6378）处置标准作业程序（SOP）

• 版本：1.0

• 发布日期：2024-12-24

• 作者：Jungle

• 审核人：T小组

• 修订记录：

• 初始版本：创建SOP

02 SOP的用途

本SOP旨在指导系统管理员安全、高效地处置 logback 代码问题漏洞（CVE-2023-6378） 漏洞，确保在规定时间内完成漏洞修复并提交给安全部门验证，保障系统安全。

03 SOP的目标用户技能要求

• 对Java应用程序开发有一定的了解。

• 熟悉Logback日志框架。

• 具备基本的安全意识和漏洞修复经验。

04 漏洞详细信息

• 漏洞名称：logback 代码问题漏洞（CVE-2023-6378）

• CVE编号：CVE-2023-6378

• 漏洞类型：拒绝服务

• 风险等级：高危

• CVSS评分：7.1

• 漏洞描述：CVE-2023-6378 是一个与logback相关的安全漏洞，具体涉及到logback-classic库的版本1.4.11。该漏洞被标记为反序列化未受信任数据的漏洞，严重程度为高。攻击者可能通过构造特殊的输入来触发反序列化操作，从而导致安全风险，如潜在的远程代码执行或其他恶意操作。

• 影响范围：受影响版本为：>= 1.4.0, < 1.4.12 和 >= 1.3.0, < 1.3.12 以及 < 1.2.13。

05 漏洞处置方案

针对logback的 CVE-2023-6378 漏洞，建议更新到如下系列对应版本：

logback-classic 和 logback-core 的修补版本分别为：1.4.12、1.3.12 和 1.2.13

【注意事项】

• 注意Springboot与logback版本的兼容性

• 在进行任何修复操作之前，务必备份所有重要数据和配置文件。

• 升级或补丁应用过程中应尽量减少对业务的影响，尽量在维护窗口内完成所有操作。

• 遵循官方提供的安装和配置指南进行操作。

• 在生产环境中升级前，最好在测试环境中先进行测试。

• 修复漏洞前进行充分测试，以确保系统稳定性和安全性。

06 漏洞修补详细步骤

以下是更加详细具体的针对漏洞 CVE-2023-6378 的处置操作步骤：

一、环境评估与准备阶段

1. 系统清单梳理

• 列出所有可能使用了受影响的 logback 版本的服务器、容器、应用程序等。包括内部开发的应用、第三方软件以及可能集成的中间件。

• 对于大型企业环境，可以借助自动化的资产管理工具或者配置管理数据库（CMDB）来确定受影响资产的位置和范围。

• 记录每个资产的操作系统类型、版本，应用程序名称、版本，以及它们的业务重要性和使用情况。

2. 备份重要数据和配置文件

• 通常我们修改pom.xml中相关依赖，备份好原有的pom.xml

3. 搭建测试环境

• 为了在修复漏洞后进行安全测试，搭建一个与生产环境相似的测试环境。包括相同版本的操作系统、应用服务器、数据库等。

• 在测试环境中安装带有漏洞的 logback 版本，以及应用程序的副本，确保测试环境能够重现生产环境中的功能和配置情况。

二、漏洞修复阶段

升级 logback 版本

注意：logback与Spring Boot、JDK版本存在兼容性，尽量不要跨大版本升级。

Logback 1.3 依赖 JDK 8，1.4 依赖 JDK 11；

Spring Boot 2.x.x 依赖 Logback 1.2.x，而 3.x.x 依赖 Logback 1.4.x。也就说 Spring Boot 跳过了 Logback 1.3.x

• Java 项目（Maven 为例）

• 打开项目的 pom.xml 文件。

• 在<dependencies>标签内找到 logback 相关的依赖项。通常包括logback - classic和logback - core。

• 将版本号修改为安全版本，如 1.2.13、1.3.14 或 1.4.14 及以上。

• 例如，本文以受影响的1.2.3为例：

• 将logback版本升级为1.2.13

<dependency>    <groupId>ch.qos.logback</groupId>    <artifactId>logback-classic</artifactId>    <version>1.2.13</version></dependency><dependency>    <groupId>ch.qos.logback</groupId>    <artifactId>logback-core</artifactId>    <version>1.2.13</version></dependency>

• 在项目根目录下，打开命令行终端，执行mvn clean install命令来重新构建项目，下载新的依赖并打包应用程序。

三、兼容性检查与安全测试阶段

1. 依赖兼容性检查

• 检查项目中其他依赖于 logback 的库或框架。这些可能包括日志分析工具、监控系统集成组件等。

• 查看这些依赖的官方文档或者发布说明，确认它们是否与升级后的 logback 版本兼容。

• 如果发现不兼容的情况，根据依赖的更新策略进行更新。有些依赖可能需要等待其开发者发布兼容新版本 logback 的版本，此时可能需要考虑替代方案或者暂时回退升级计划。

2. 功能测试

• 在测试环境中，运行应用程序并执行各种功能测试用例。包括但不限于用户登录、数据查询、数据修改、业务流程操作等。

• 检查日志输出是否正常，确保日志记录的内容、格式和级别符合预期。特别关注与漏洞修复相关的日志记录部分。

• 验证应用程序的性能是否受到影响。可以使用性能测试工具，如 JMeter 或者 Gatling，对应用程序进行负载测试，比较升级前后的性能指标，如响应时间、吞吐量等。

3. 漏洞扫描与安全评估

• 使用专业的漏洞扫描工具，如 Nessus、Qualys 等，对测试环境中的应用程序和系统进行扫描。确保扫描工具的漏洞库是最新的，以能够准确检测 CVE-2023-6378 漏洞是否已经成功修复。

• 进行安全代码审查，特别是针对 logback 相关的代码部分。检查是否存在其他潜在的安全风险，例如不正确的日志记录可能导致敏感信息泄露。

四、部署与监控阶段

1. 部署到生产环境

• 在完成测试环境的验证并且确保没有问题后，制定详细的生产环境部署计划。

• 根据企业的变更管理流程，安排合适的时间窗口进行部署。对于关键业务系统，可能需要在非业务高峰期进行部署，并提前通知相关用户。

• 在部署过程中，密切关注部署工具（如 Ansible、Chef、Kubernetes 等）的输出，确保升级过程顺利完成。如果遇到问题，按照预先制定的回滚计划进行操作。

2. 监控与应急响应

• 部署完成后，持续监控生产系统的运行状态。通过系统监控工具（如 Zabbix、Prometheus 等）监控服务器的 CPU、内存、网络等资源使用情况，以及应用程序的性能指标。

• 密切关注日志文件，特别是 logback 记录的日志。设置日志监控规则，对于异常的日志模式（如大量错误日志、重复的特定错误消息等）及时发出警报。

• 建立应急响应团队和流程。明确在发现疑似安全事件（如系统性能突然下降、异常的网络流量等）时，团队成员的职责和响应步骤。包括如何隔离受影响的系统、如何收集证据进行分析，以及如何进行系统恢复等。

- end -

欢迎投稿或扫码添加运营助手获取附件
▽

欢迎关注公众号

▽

原文始发于微信公众号（方桥安全漏洞防治中心）：【漏洞处置SOP】logback 代码问题漏洞（CVE-2023-6378）