jdk9 出现比 log4j 更大的漏洞

@newmlp 真的么 你自己 debug 了？搞明白了？不需要接受实体对象？

spring 全版本 rce 都不一定有 log4j 的危害大。更何况这么多限制的 RCE 。高危漏洞没错，但别动不动就搞过度沸腾

一个 jdk 的漏洞附了一条微博的链接，总觉得哪里怪怪的

@DrJoseph 不能完全算 jdk 的问题，更多的是 spring 的问题

@lovelynn 感谢指正

@kran 因为三层架构的设计吧。

Web 开发一开始是一个接口 action 直接发起调用数据库返回数据，这样手动开关事务处理一下就行了，问题就是输入输出都是 Http 请求，在后台没法复用。

为了解决代码复用问题，用了分层架构设计，至少用于处理接口的 action 层与处理数据的业务层会分开。
这样又有了新问题，两个都含有开关事务的业务方法相互调用就会出现问题，这时就需要一个事务管理器进行处理。Spring 就是当时最为简练完善的方案了。

当时还有另一个框架，叫做 ejb ，更加烦死个人，Spring 已经是非常轻量。

这次的还没报吧，都没 CVE 号

等保测评不通知就不改。

不影响 JDK8 就安心了

还有没修复的吗? POC 都出来了哦
https://github.com/mcdulltii/SpringShell_0-day

用楼上的示例，Java11 下无法复现。反序列化到 `class.module.classLoader.resources` 这里就是空值了。

@knives tomcat 下部署 war 包。Spring boot 的 jar 包无法用这个利用链

@cmxz 既如此，那我就不急着测试了😏

目前的感想：叫大家出来，就为了这点事.jpg

@knives 还需要 tomcat 部署

我已经分析完了，这个漏洞危害没那么大 是一个 10 年老漏洞的绕过，目标需要 jdk9 以上版本，项目使用了 spring 框架，且要通过 tomcat 来部署，利用方式是以写日志的形式将恶意代码写进指定路径的指定文件，和 log4j 比差了十万八千里

https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/ 外网这篇分析文章写的已经很详细了

@LinShiG0ng 这还不大么？

一个 hotfix: https://github.com/blindpirate/spring-rce-2022-03-hotfix

这个洞还是很局限的 没 log4j 大