jdk9 出现比 log4j 更大的漏洞

2022-03-29 22:11:46 +08:00

asd7160

https://weibo.com/1705822647/Lm0FY1WyS#comment

https://imgur.com/KSkhaQO

15986 次点击

所在节点

Java

101 条回复

Had

2022-03-29 23:31:48 +08:00

@312ybj 说的不是 Spring Cloud 的呀

XhstormR02

2022-03-29 23:32:43 +08:00

有人复现了但是打码了

https://mmbiz.qpic.cn/mmbiz_png/sGfPWsuKAfdSdviblWkNAwlHD2UQ3yH0ibwOfu3IFbc83XIschNlkpV3SibxEcznXz19SUO3h09YOJMZbbbfoxz1A/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1

binmiui

2022-03-29 23:38:29 +08:00

影响太小了，现在 80%以上的项目都在 jdk8 上

kernelpanic

2022-03-29 23:39:23 +08:00

几天之前就有公开的 poc 了
https://github.com/cckuailong/spring-cloud-function-SpEL-RCE

Had

2022-03-29 23:39:43 +08:00

@kernelpanic 不是同一个东西啊？

wbd31

2022-03-29 23:59:40 +08:00

@XhstormR02 如果是这个 RCE 的话，感觉是搞了个大新闻。
Spring 的 SerializationUtils 我看只有开启了 @EnbaleCaching 才有可能用到。
大部分项目应该也都不用 Spring 的 cacahe 。

justs0o

2022-03-30 00:08:39 +08:00

今天出的是 spring RCE ，不是前几天的 Spring cloud function RCE ，楼上几个别搞混了

Bingchunmoli

2022-03-30 02:01:58 +08:00

现在公司百分之 90 之上都是 1.7 和 1.8 吧，最起码应该是个 11.

Bingchunmoli

2022-03-30 02:02:36 +08:00

@Leviathann 然而真的比其他好用得多，也是一家独大

Bingchunmoli

2022-03-30 02:06:59 +08:00

只要 1.8 没大的安全问题，万事大吉

harwck

2022-03-30 05:17:04 +08:00

上来一张微博截图剩下全靠编

xServ

2022-03-30 07:11:34 +08:00

强烈围观一下！

yaott2020

2022-03-30 08:00:45 +08:00

@harwck github 有

chendy

2022-03-30 08:26:29 +08:00

@Leviathann
问题是淘汰了 spring 了用啥呢
注解配置也没多少东西，想要配置基本跑不掉反射（除非做 mircronuat 那种 apt 代码生成

jzphx

2022-03-30 08:43:11 +08:00

@Leviathann 了解的越多越会发出我艹真妙，我怎么想不到的感叹，你这寥寥几句就要淘汰 Spring

micean

2022-03-30 08:45:29 +08:00

Spring Cloud Function 没几个项目用吧？

kran

2022-03-30 08:47:59 +08:00

@jzphx 能展开说一下嘛？

wolfie

2022-03-30 09:50:20 +08:00

@Leviathann
是个技术都有利弊，不去衡量优缺点，反正就要喷彰显自己的优越感。

kran

2022-03-30 09:56:42 +08:00

@wolfie 能展开说一下嘛？

wolfie

2022-03-30 10:07:44 +08:00

@kran
要组件互相依赖，还要解藕，要么扫包反射、要么编译期做文章。
所谓的又臭又长的配置，就是默认配置不是自己想要的。

第 2 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/843724

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.