所以 Spring 的 0day RCE 漏洞被证实了?
blindpirate · blindpirate · 2022-03-31 13:36:51 +08:00 · 2720 次点击这是一个创建于 960 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
eviladan0s 2022-03-31 14:42:06 +08:00
漏洞的确存在,没 log4j2 影响大
|
 |
2
chendy 2022-03-31 15:20:35 +08:00
修复补丁还没发,就把漏洞 poc 到处传播的人我觉得是真的缺德……
|
 |
3
git00ll 2022-03-31 23:36:26 +08:00
试了一下 使用 springboot 似乎么有问题
|
 |
4
sagaxu 2022-04-01 00:50:52 +08:00 via Android
三个条件
1. java 9+ 2. tomcat + war 包 3. 实用了 mvc 或 webflux 能升 java 9+的,大概也不用 war 包部署了 |
 |
6
mrochcnnnnn 2022-04-01 12:43:27 +08:00
集团已发邮件让重视
|
 |
7
yedanten 2022-04-01 15:47:36 +08:00 via Android
@sagaxu 漏洞其实只要符合第一点就可以,tomcat 是改日志的配置项直接添加个规则写 shell 方便,是存在其他利用链的。
|
 |
8
INCerry 2022-04-01 18:46:00 +08:00
war 包只是拿 shell 方便,感觉 jar 包也有其它方式拿 shell
|
|
11
sagaxu 2022-04-02 09:34:44 +08:00
@yedanten 那也要有害的 payload 经过 spring 框架处理才行吧,如果请求都是 netty 处理的,spring 只做了 di ,也能利用上吗?
|
Select Language