- 主题:log4j 0-day 漏洞
但是没有比Java圈更热爱这种over design的了
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: php和c++写这种字符串解析也可能会出这种问题
--
FROM 122.225.220.*
这是两种不同风格的坑……
我说的只是over-design
至于php……懒得关心
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: php还一堆解析文本字符串,eval的呢
--
修改:adoal FROM 125.118.101.*
FROM 125.118.101.*
不是写日志的时候需要执行远程代码,而是写日志的时候希望有
一个可以做替换的机制,而这个机制的实现过于灵活,替换时居然
默认允许去做远程查询来决定替换的模式……
【 在 chunhui (北瓜) 的大作中提到: 】
: 写日志的时候需要执行远程代码。这种应用场景是什么?我觉得没什么这种需求啊。为啥会有这种设计。
--
FROM 125.118.101.*
升级到2.16吧
【 在 hover (人生自古谁无死 此恨绵绵无绝期) 的大作中提到: 】
: 这次之后log4j会提供一个方便的方式关闭这些“高级”功能吗
: 我就想简单地写个log而已
--
FROM 125.118.101.*
嗯,真的是over-design了……
不过话说回来,不懂Java的我看了一下log4j2的JavaDoc,
有个猜想:
里面的logger.xxx的参数好像第一个是String message,
然后可以跟一些可选的Object p0, p1, ...用来根据messsage
的placeholder做formatting?
那我怀疑,这个漏洞里涉及的JDNI查找只是针对message里
写好的模式,如果是后面的p0, p1, ...里写了JNDI并不会
去查找……
也就是说自己手拼字符串作为message又不检查用户输入是
危险的,而用message formatting并不一定会有这种危险?
以上……瞎猜……我真的不懂Java……很可能猜错了。
【 在 canper (洗衣粉) 的大作中提到: 】
: 所以就不应该包揽这事,替换让调用者自己来,字符串模板的api有的事,如果调用者把用户输入传给字符串模板的话,那是调用者自己作死。日志工具包揽字符串模板的工作,还提供了这么强大的功能,是日志工具作死。
--
修改:adoal FROM 125.118.101.*
FROM 125.118.101.*
这……内牛螨面!
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: 不是对,是format好了之后lookup的
--
FROM 125.118.101.*