这是一个创建于 1383 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
eviladan0s 2022 年 3 月 31 日
漏洞的确存在,没 log4j2 影响大
|
 |
2
chendy 2022 年 3 月 31 日
修复补丁还没发,就把漏洞 poc 到处传播的人我觉得是真的缺德……
|
 |
3
git00ll 2022 年 3 月 31 日
试了一下 使用 springboot 似乎么有问题
|
 |
4
sagaxu 2022 年 4 月 1 日 via Android
三个条件
1. java 9+ 2. tomcat + war 包 3. 实用了 mvc 或 webflux 能升 java 9+的,大概也不用 war 包部署了 |
 |
6
mrochcnnnnn 2022 年 4 月 1 日
集团已发邮件让重视
|
 |
7
yedanten 2022 年 4 月 1 日 via Android
@sagaxu 漏洞其实只要符合第一点就可以,tomcat 是改日志的配置项直接添加个规则写 shell 方便,是存在其他利用链的。
|
 |
8
INCerry 2022 年 4 月 1 日
war 包只是拿 shell 方便,感觉 jar 包也有其它方式拿 shell
|
|
11
sagaxu 2022 年 4 月 2 日
@yedanten 那也要有害的 payload 经过 spring 框架处理才行吧,如果请求都是 netty 处理的,spring 只做了 di ,也能利用上吗?
|
Select Language