- 主题:log4j打补丁了吗?
太老了,有其他漏洞,我门用等是logback,只希望它没有lookup这样的东西
【 在 lag (为众人抱薪者 不可使其冻毙于风雪) 的大作中提到: 】
: 我们用的还是log4j 1.x版本。。。
: 【 在 MyWorkLife (我是谁) 的大作中提到: 】
: : 最近曝出的远程执行漏洞貌似很严重
:
--
FROM 1.202.22.*
对外界输入的字符串进行lookup,碰到jndi就去执行,然后就是rce那些东西了
【 在 zxkane (Kane) 的大作中提到: 】
: 只要使用log4j api写日志就中招?触发机制是啥
:
: 【 在 MyWorkLife 的大作中提到: 】
: :
--
FROM 1.202.22.*
都是框架作者自作聪明的做表达式计算导致的
【 在 hgoldfish (老鱼) 的大作中提到: 】
: 很早以前好像是 struts2 也有一个类似的漏洞。不加检验地根据应用层输入的字符串解析执行某些动作。
:
: 【 在 MyWorkLife (我是谁) 的大作中提到: 】
: : 最近曝出的远程执行漏洞貌似很严重
--
FROM 1.202.22.*
lookup是新版本才有的话,不会被这个漏洞影响,不过不怕有其他已经被发现的漏洞吗?
【 在 RAV4 (hehe) 的大作中提到: 】
: 1.x的版本不用调整是不是?
:
: 【 在 lag (为众人抱薪者 不可使其冻毙于风雪) 的大作中提到: 】
: : 我们用的还是log4j 1.x版本。。。
--
FROM 223.104.38.*