来源:twitter
可能又来新的 RCE 了?
1
sagaxu 2021-12-29 00:39:24 +08:00 via Android
已换 logback
|
2
lindas 2021-12-29 09:59:54 +08:00
|
3
LinShiG0ng 2021-12-29 10:16:06 +08:00 1
不用看了,要攻击者能自己修改目标服务器上的 log4j2 的配置文件才可能利用成功,简直离了个大谱,我特喵都能修改文件了,我干点啥不好,还去修改这个配置文件然后触发这个漏洞? checkmarx 不知道咋想的,这样的漏洞也往外发。。。。不是等着被人嘲笑么。。
|
4
q1angch0u 2021-12-30 11:56:10 +08:00
@LinShiG0ng 刷 cve 啊。。。
|
5
bronco 2021-12-31 12:36:50 +08:00 via iPhone
@LinShiG0ng 配置文件可以通过黑进配置中心来修改吧。
|
6
LinShiG0ng 2021-12-31 16:52:27 +08:00
log4j2 本身可没提供什么接口或者界面共别人来进行远程配置。你说的配置中心是提供一个后台管理页面,上面可以设置各种后台组件的参数么?那这种情况得有多极端,没有可行性的。
|