这是一个创建于 1485 天前的主题,其中的信息可能已经有所发展或是发生改变。
来源:twitter
可能又来新的 RCE 了?
第 1 条附言 · 2021 年 12 月 29 日
据说 bug 需要很特殊的触发条件(非默认配置的 log4j ),估计没啥影响。
 |
1
sagaxu 2021 年 12 月 29 日 via Android
已换 logback
|
 |
2
lindas 2021 年 12 月 29 日
|
 |
3
LinShiG0ng 2021 年 12 月 29 日  1
不用看了,要攻击者能自己修改目标服务器上的 log4j2 的配置文件才可能利用成功,简直离了个大谱,我特喵都能修改文件了,我干点啥不好,还去修改这个配置文件然后触发这个漏洞? checkmarx 不知道咋想的,这样的漏洞也往外发。。。。不是等着被人嘲笑么。。
|
 |
4
ryanbuu 2021 年 12 月 30 日
@LinShiG0ng 刷 cve 啊。。。
|
 |
5
bronco 2021 年 12 月 31 日 via iPhone
@LinShiG0ng 配置文件可以通过黑进配置中心来修改吧。
|
|
6
LinShiG0ng 2021 年 12 月 31 日
log4j2 本身可没提供什么接口或者界面共别人来进行远程配置。你说的配置中心是提供一个后台管理页面,上面可以设置各种后台组件的参数么?那这种情况得有多极端,没有可行性的。
|
Select Language