V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mingl0280
V2EX  ›  分享发现

[消息可靠性未知] Log4j 2.17 可能有新的 RCE?

  •  
  •   mingl0280 · 2021-12-28 23:55:48 +08:00 · 2673 次点击
    这是一个创建于 1079 天前的主题,其中的信息可能已经有所发展或是发生改变。

    来源:twitter

    可能又来新的 RCE 了?

    第 1 条附言  ·  2021-12-29 01:50:44 +08:00
    据说 bug 需要很特殊的触发条件(非默认配置的 log4j ),估计没啥影响。
    6 条回复    2021-12-31 16:52:27 +08:00
    sagaxu
        1
    sagaxu  
       2021-12-29 00:39:24 +08:00 via Android
    已换 logback
    lindas
        2
    lindas  
       2021-12-29 09:59:54 +08:00
    LinShiG0ng
        3
    LinShiG0ng  
       2021-12-29 10:16:06 +08:00   ❤️ 1
    不用看了,要攻击者能自己修改目标服务器上的 log4j2 的配置文件才可能利用成功,简直离了个大谱,我特喵都能修改文件了,我干点啥不好,还去修改这个配置文件然后触发这个漏洞? checkmarx 不知道咋想的,这样的漏洞也往外发。。。。不是等着被人嘲笑么。。
    q1angch0u
        4
    q1angch0u  
       2021-12-30 11:56:10 +08:00
    @LinShiG0ng 刷 cve 啊。。。
    bronco
        5
    bronco  
       2021-12-31 12:36:50 +08:00 via iPhone
    @LinShiG0ng 配置文件可以通过黑进配置中心来修改吧。
    LinShiG0ng
        6
    LinShiG0ng  
       2021-12-31 16:52:27 +08:00
    log4j2 本身可没提供什么接口或者界面共别人来进行远程配置。你说的配置中心是提供一个后台管理页面,上面可以设置各种后台组件的参数么?那这种情况得有多极端,没有可行性的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1128 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:37 · PVG 07:37 · LAX 15:37 · JFK 18:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.