Комментарии 2
Давненько не было такого горячего выпуска новостей.
раздуто малограмотными мамкиными погромистами до статуса хартблида хотя log4j2 далеко по популярности до собственно log4j да и до logback, а тригернуть его можно вообще в единицах продуктов
и то если жабе больше трех лет - вот хорошее саммари https://jfrog.com/blog/log4shell-0-day-vulnerability-all-you-need-to-know
короче - нужна комбинация старой жабы, новой всратой либы для логгирования, и удачного места для логгирования
это только для триггера, реальный эксплоит я пока не видел
в общем, если б не майнкрафт - никто б и не заметил
но пока из жабы полностью не выпилят подгрузку классов или хотя бы стандартный рефлекшен - такие проблемы будут периодически возникать
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Security Week 50: драма вокруг log4j