- 主题:log4j 0-day 漏洞
漏洞是阿里一个多月前就报告了的吧
java也够扯淡的,写个log还加载远程代码。。。
--
修改:z16166 FROM 114.245.195.*
FROM 114.245.195.*
所以写java的被一些人鄙视,远程加载byte code开了多大的口子,有些默认还打开这个特性。
这个format还是递归处理的,给log的调用者想得太周到了
官方的这个漏洞补丁还可以绕过去
https://lorexxar.cn/2021/12/10/log4j2-jndi/
【 在 xiaoju 的大作中提到: 】
: 这个是f-string玩脱了吧,把用户输入的信息也转了,这样对方恶意嵌套进来的{}也能被执行了
:
--
修改:z16166 FROM 114.245.195.*
FROM 114.245.195.*
就是java特有的,
JNDI,log4j的解析变量,这二者同时起作用,少一个都不会出问题。
asp.net、js都可能会加载远程服务器上的code,不过默认都有限制,打开限制的人对此负责。
不知道java这个加载remote byte code是怎么默认就能绕过限制的,没细究。
【 在 nikezhang 的大作中提到: 】
: 和java无关,是log4j自作聪明了,logback就没有这问题
--
FROM 114.245.195.*