颤抖吧 Javaer， log4j 史诗级漏洞

.net 的 log4 应该不受影响吧

@yohole #113 我试了下没复现成功，是不是 jdk 版本太高了，我用的 1.8.0_312

@monkeyWie JDK1.8.121 以上的版本是默认禁止 trustURLCodebase 的，远程反射运行不了。 想要复现加上 System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");

sudo rm -rf /

在野利用是什么意思呀。

难受，今天一天就花在升级各个仓库的版本了。。。

@justs0o jms appender 用的场景应该比较少啊。大部分直接 stdout ，或者日志文件。 是不是意味着这些用 1.x 版本的没关系啊

rc1 rc2 目前也能绕过，最好还是 waf 升规则吧，现在升级的，后面还要再升...l4j 开发不知道咋想的

@zhq566 漏洞被发现已经在互联网上流传和利用

@aguesuka

log4j 、logback 、log4j2 是同一個作者 Ceki Gülcü


你用什麼日誌庫?

1.8.0_312 我也复现了，就起了个 tcp server ，打印请求过来的 remote addr ，然后用 log4j 成功复现

@hingbong #131 会请求，但是执行不了 class

所以，log4j 1 到底怎么复现？试了几个 demo 都不行

上面也提到了，java8 u191 版本后就不能用 ldap 进行远程类加载了，但是这只是排除了其中一部分风险，依旧隐含拒绝服务攻击，利用远程文件写入进行 RCE 的风险

@shyangs 这个 bug 是 garydgregory 写的, 它是 log4j2 的最大贡献者, 而他在 log4j 中只有 24 个 commit; 如果是本人那 logback 说不定也有同样的问题, 那我可恭喜 javaer 了.

rc2 也可以绕过了么？哪里有确切消息？

老版本的 Log4j 有没有影响？

源码编译步骤：
1.准备 JDK8 & JDK11 & maven
2.配置环境变量 export JAVA_HOME_8_X64=jdk8 目录 export JAVA_HOME_11_X64=jdk11 目录
3.源码目录下执行 mvn package -Dmaven.test.skip=true -DtrimStackTrace=false -Dmaven.test.failure.ignore=true -Dsurefire.rerunFailingTestsCount=1 --global-toolchains .github/workflows/maven-toolchains.xml

@kknd22 #137 log4j 1.* 版本有个类似的漏洞，在 JMS Appender ，但是跟 2.* 的差别是需要错误配置使用了该 Appender 才会触发，所以一般没有使用这个 Appender 的不会有问题

大佬们，spring-boot-starter-log4j2 怎么升级啊。exclusion 之后不好使啊