Log4J bug 套 bug /dog

2021-12-17 15:13:03 +08:00
 hushulin

https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/

2279 次点击
所在节点    信息安全
5 条回复
cwyalpha
2021-12-17 15:21:01 +08:00
要到 2.16...2.15 也有问题
2i2Re2PLMaDnghL
2021-12-17 15:52:43 +08:00
感觉 HardenVault 说的很有道理,只要给 JVM 加个插件,所有进入 JVM 的代码都强制验签名,把 RCE 视为 feature 而非 bug ,就能解决大多数问题。
(差不多这意思,不搞 Java 不懂)

PowerShell:我有验签
kujio
2021-12-17 15:56:07 +08:00
bug * bug / bug = bug
Jooooooooo
2021-12-17 15:58:23 +08:00
可以执行外部输入代码的功能真得谨慎小心, 直接去掉比较合理. 老老实实打日志.
ciaoly
2021-12-17 16:26:20 +08:00
@2i2Re2PLMaDnghL Set-ExecutionPolicy Unrestricted🙋

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/822817

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX