- 主题:log4j 0-day 漏洞
之后都是默认关闭的
【 在 hover (人生自古谁无死 此恨绵绵无绝期) 的大作中提到: 】
: 这次之后log4j会提供一个方便的方式关闭这些“高级”功能吗
: 我就想简单地写个log而已
: 【 在 adoal (阿豆) 的大作中提到: 】
: : 不是写日志的时候需要执行远程代码,而是写日志的时候希望有
--
FROM 1.202.22.*
不是对,是format好了之后lookup的
【 在 adoal (阿豆) 的大作中提到: 】
:
: 嗯,真的是over-design了……
:
: 不过话说回来,不懂Java的我看了一下log4j2的JavaDoc,
--
FROM 1.202.22.*
这……内牛螨面!
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: 不是对,是format好了之后lookup的
--
FROM 125.118.101.*
不是对,是format中间之后lookup的,对用户输入值也这样做了,本来就是想给应用程序员提供一个灵活的方法,关键是有的程序员不知道这些,把外部用户输入也写日志了
【 在 adoal (阿豆) 的大作中提到: 】
:
: 嗯,真的是over-design了……
:
: 不过话说回来,不懂Java的我看了一下log4j2的JavaDoc,
--
FROM 1.202.22.*
光看doc没有用,你去看前面人贴的博客文章,有具体的解决
【 在 adoal (阿豆) 的大作中提到: 】
:
: 嗯,真的是over-design了……
:
: 不过话说回来,不懂Java的我看了一下log4j2的JavaDoc,
--
FROM 1.202.22.*
我的意思是开发用的静态扫描工具
【 在 nikezhang (难得糊涂) 的大作中提到: 】
: 人家说的是后端
--
FROM 27.91.71.*
实际上并不需要很多人去看源码 只要有几个(有一定影响力的)人或组织看就可以了
只要他们发现问题一公开 自然会有更多人去check
【 在 laoshifu (老师傅) 的大作中提到: 】
: 这玩应是销售用来忽悠人用的,你还真相信啊
: 并且相信了这个,用openssl之类的库就觉着很安心,实际更方便FBI CIA内嵌私货,实
: 际上没有几个人会看源代码,看了也不一定能发现问题。核心部门可能会看,甚至自己
: ...................
--
FROM 61.48.215.189
还得是专业知识够用的人,否者稍微隐藏点私货也没有人能看出来。如果他们也被收买
了呢,可能很多后门就会一直留在里面,没有人能发现
【 在 lilnelse (不折腾) 的大作中提到: 】
: 实际上并不需要很多人去看源码 只要有几个(有一定影响力的)人或组织看就可以了
: 只要他们发现问题一公开 自然会有更多人去check
--
FROM 221.200.2.*