嗯,真的是over-design了……
不过话说回来,不懂Java的我看了一下log4j2的JavaDoc,
有个猜想:
里面的logger.xxx的参数好像第一个是String message,
然后可以跟一些可选的Object p0, p1, ...用来根据messsage
的placeholder做formatting?
那我怀疑,这个漏洞里涉及的JDNI查找只是针对message里
写好的模式,如果是后面的p0, p1, ...里写了JNDI并不会
去查找……
也就是说自己手拼字符串作为message又不检查用户输入是
危险的,而用message formatting并不一定会有这种危险?
以上……瞎猜……我真的不懂Java……很可能猜错了。
【 在 canper (洗衣粉) 的大作中提到: 】
: 所以就不应该包揽这事,替换让调用者自己来,字符串模板的api有的事,如果调用者把用户输入传给字符串模板的话,那是调用者自己作死。日志工具包揽字符串模板的工作,还提供了这么强大的功能,是日志工具作死。
--
修改:adoal FROM 125.118.101.*
FROM 125.118.101.*