This topic created in 1504 days ago, the information mentioned may be changed or developed.
 |
1
eviladan0s Mar 31, 2022
漏洞的确存在,没 log4j2 影响大
|
 |
2
chendy Mar 31, 2022
修复补丁还没发,就把漏洞 poc 到处传播的人我觉得是真的缺德……
|
 |
3
git00ll Mar 31, 2022
试了一下 使用 springboot 似乎么有问题
|
 |
4
sagaxu Apr 1, 2022 via Android
三个条件
1. java 9+ 2. tomcat + war 包 3. 实用了 mvc 或 webflux 能升 java 9+的,大概也不用 war 包部署了 |
 |
6
mrochcnnnnn Apr 1, 2022
集团已发邮件让重视
|
 |
7
yedanten Apr 1, 2022 via Android
@sagaxu 漏洞其实只要符合第一点就可以,tomcat 是改日志的配置项直接添加个规则写 shell 方便,是存在其他利用链的。
|
 |
8
INCerry Apr 1, 2022
war 包只是拿 shell 方便,感觉 jar 包也有其它方式拿 shell
|
|
11
sagaxu Apr 2, 2022
@yedanten 那也要有害的 payload 经过 spring 框架处理才行吧,如果请求都是 netty 处理的,spring 只做了 di ,也能利用上吗?
|
Select Language