This topic created in 1588 days ago, the information mentioned may be changed or developed.
来源:twitter
可能又来新的 RCE 了?
Supplement 1 · Dec 29, 2021
据说 bug 需要很特殊的触发条件(非默认配置的 log4j ),估计没啥影响。
 |
1
sagaxu Dec 29, 2021 via Android
已换 logback
|
 |
2
lindas Dec 29, 2021
|
 |
3
LinShiG0ng Dec 29, 2021  1
不用看了,要攻击者能自己修改目标服务器上的 log4j2 的配置文件才可能利用成功,简直离了个大谱,我特喵都能修改文件了,我干点啥不好,还去修改这个配置文件然后触发这个漏洞? checkmarx 不知道咋想的,这样的漏洞也往外发。。。。不是等着被人嘲笑么。。
|
 |
4
ryanbuu Dec 30, 2021
@LinShiG0ng 刷 cve 啊。。。
|
 |
5
bronco Dec 31, 2021 via iPhone
@LinShiG0ng 配置文件可以通过黑进配置中心来修改吧。
|
|
6
LinShiG0ng Dec 31, 2021
log4j2 本身可没提供什么接口或者界面共别人来进行远程配置。你说的配置中心是提供一个后台管理页面,上面可以设置各种后台组件的参数么?那这种情况得有多极端,没有可行性的。
|
Select Language