这是一个创建于 842 天前的主题,其中的信息可能已经有所发展或是发生改变。
来源:twitter
可能又来新的 RCE 了?
第 1 条附言 · 2021-12-29 01:50:44 +08:00
据说 bug 需要很特殊的触发条件(非默认配置的 log4j ),估计没啥影响。
 |
1
sagaxu 2021-12-29 00:39:24 +08:00 via Android
已换 logback
|
 |
2
lindas 2021-12-29 09:59:54 +08:00
|
 |
3
LinShiG0ng 2021-12-29 10:16:06 +08:00  1
不用看了,要攻击者能自己修改目标服务器上的 log4j2 的配置文件才可能利用成功,简直离了个大谱,我特喵都能修改文件了,我干点啥不好,还去修改这个配置文件然后触发这个漏洞? checkmarx 不知道咋想的,这样的漏洞也往外发。。。。不是等着被人嘲笑么。。
|
 |
4
q1angch0u 2021-12-30 11:56:10 +08:00
@LinShiG0ng 刷 cve 啊。。。
|
 |
5
bronco 2021-12-31 12:36:50 +08:00 via iPhone
@LinShiG0ng 配置文件可以通过黑进配置中心来修改吧。
|
|
6
LinShiG0ng 2021-12-31 16:52:27 +08:00
log4j2 本身可没提供什么接口或者界面共别人来进行远程配置。你说的配置中心是提供一个后台管理页面,上面可以设置各种后台组件的参数么?那这种情况得有多极端,没有可行性的。
|
Select Language