[消息可靠性未知] Log4j 2.17 可能有新的 RCE?

2021-12-28 23:55:48 +08:00
 mingl0280

来源:twitter

可能又来新的 RCE 了?

2659 次点击
所在节点    分享发现
6 条回复
sagaxu
2021-12-29 00:39:24 +08:00
已换 logback
lindas
2021-12-29 09:59:54 +08:00
LinShiG0ng
2021-12-29 10:16:06 +08:00
不用看了,要攻击者能自己修改目标服务器上的 log4j2 的配置文件才可能利用成功,简直离了个大谱,我特喵都能修改文件了,我干点啥不好,还去修改这个配置文件然后触发这个漏洞? checkmarx 不知道咋想的,这样的漏洞也往外发。。。。不是等着被人嘲笑么。。
q1angch0u
2021-12-30 11:56:10 +08:00
@LinShiG0ng 刷 cve 啊。。。
bronco
2021-12-31 12:36:50 +08:00
@LinShiG0ng 配置文件可以通过黑进配置中心来修改吧。
LinShiG0ng
2021-12-31 16:52:27 +08:00
log4j2 本身可没提供什么接口或者界面共别人来进行远程配置。你说的配置中心是提供一个后台管理页面,上面可以设置各种后台组件的参数么?那这种情况得有多极端,没有可行性的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/824992

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX