Spring 爆出比 Log4j2 还大的漏洞了？

又出现了个超级大漏洞？

看样子是 Spring 的。

shadowfish0

2022-03-29 23:49:08 +08:00

不懂就问，图里咋看出是 spring 的

mikywei

2022-03-30 00:04:19 +08:00

不懂就问，有没有验证教程，怎么验证自己的应用有没有问题呢？

chendy

2022-03-30 00:13:17 +08:00

是这个么…… https://spring.io/blog/2022/03/28/cve-report-published-for-spring-framework
该升级的是依赖又不是 java……依赖的漏洞升级到 java999 也没用

nuk

2022-03-30 00:39:16 +08:00

@chendy 应该不是吧，要比 log4j 严重起码也得是 RCE 吧。。

Jooooooooo

2022-03-30 01:07:29 +08:00

需要 jdk9, 万年 8 就无碍了.

wangnimabenma

2022-03-30 01:30:51 +08:00

没看见云舒发这条微博呢

Bingchunmoli

2022-03-30 01:44:22 +08:00

log4j2 是高危，这个只是中等，而且感觉没啥人会关注的

swulling

2022-03-30 01:56:40 +08:00

@chendy 这个只是一个 Dos 而已。

huang119412

2022-03-30 09:02:31 +08:00

现在连个漏洞都能恶意炒作，真有意思。

WhereverYouGo

2022-03-30 09:24:32 +08:00

有点 UC 震惊部那味儿了

cmower

2022-03-30 09:41:48 +08:00

[root@iZ2zebrh6ffesjwecx7eq9Z toBeBetterJavaer]# java -version
openjdk version "1.8.0_312"
OpenJDK Runtime Environment (build 1.8.0_312-b07)
OpenJDK 64-Bit Server VM (build 25.312-b07, mixed mode)

wolfie

2022-03-30 10:09:41 +08:00

之前 log4j bug ，jdk9 一样复现。

sola97

2022-03-30 11:29:31 +08:00

好像是这个 https://www.freebuf.com/vuls/326627.html

blueskea

2022-03-30 18:34:11 +08:00

@chendy 不是的，参考大佬文章的前言。https://xz.aliyun.com/t/11114

qq1340691923

2022-03-31 09:35:09 +08:00

假消息，图片中博主已删帖

blindpirate

2022-03-31 12:01:44 +08:00

是另外一个： https://zhuanlan.zhihu.com/p/490747441

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/843732

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.