分享 log4j 漏洞的信息

2021-12-10 11:27:14 +08:00
 enrolls

目前的利用步骤 https://www.lunasec.io/docs/blog/log4j-zero-day https://news.ycombinator.com/item?id=29504755

旧的利用方式 (老酒新瓶) https://securityonline.info/jndi-injection-exploit-exploit-jndi-injection-vulnerability/

快速验证 https://issues.apache.org/jira/browse/LOG4J2-3202

最后,祝各位,周末快乐~!

3915 次点击
所在节点    程序员
9 条回复
jiangss007
2021-12-10 11:35:00 +08:00
最后一句话感到深深的恶意
mekingname
2021-12-10 13:10:04 +08:00
用 Java 的人,早就加班加麻木了。你看看他们的头发。
EminemW
2021-12-10 13:12:49 +08:00
想问一下 Spring boot 默认配置,啥也没改,会有这个问题吗
Macolor21
2021-12-10 13:18:08 +08:00
@EminemW spring boot 默认是 logback 吧
0312birdzhang
2021-12-10 13:51:26 +08:00
试了一下,log4j 1 确实不受影响啊。
qping
2021-12-10 14:28:12 +08:00
谢谢!
iold
2021-12-10 14:28:39 +08:00
@0312birdzhang #5
https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126
0312birdzhang
2021-12-10 14:46:16 +08:00
@iold 看过这个评论,但是根据 https://news.ycombinator.com/item?id=29504755 没有成功。
enrolls
2021-12-10 20:06:52 +08:00
@jiangss007 今天週五,到點就不要回頭了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/821288

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX