关于重新接收Log4j2漏洞的公告
致各位亲爱的白帽:
经过一轮紧张的排查修复,斗鱼SRC将重新有条件接收Apache Log4j2相关的RCE漏洞,RCE漏洞的确认标准为成功执行获取存在漏洞的主机的hostname。
由于此漏洞到目前为止依然影响广泛,故对此漏洞的提交作出以下说明:
1. 切勿进行反弹shell等威胁的入侵恶意行为,漏洞证明存在后,禁止进一步利用;如需深度利用,请与运营协商备注IP,如无备注进行深度利用,视为违规,情节严重者将追究法律责任;
2. 简单dns解析传递记录将被忽略处理,漏洞报告中请附上详细POC证明,如攻击入口、请求包等;
3. 漏洞易于检测,按“中危”进行评级,按核心业务系数(DYSRC漏洞奖励标准及评分细则V4.1)发放积分;
4. 由于漏洞调用链可能存在多条,单个有效漏洞的计算规则为接口及主机hostname的无重复性,识别为相同漏洞源一般只给第一个提交者奖励;
5. Apache Log4j2漏洞不参与其他活动,测试过程中如有任何争议和疑问请及时与我们沟通,在漏洞未经修复前,严禁向外披露漏洞详情,否则将取消所有奖励。
感谢各位的支持与理解~
联系方式:
DYSRC
2022-02-14
斗鱼安全应急响应中心
(DYSRC,https://security.douyu.com/)是斗鱼安全建立的安全漏洞收集及安全应急响应平台,致力于保障斗鱼旗下所有产品及用户信息安全,与各界安全人员及安全组织、团队共建文明网络安全。
鱼塘里的小鲨鱼都是萌萌小可爱,期待你们来守护小鲨鱼的安全!我们会不定期开展各种奖励活动,给守护斗鱼安全的白帽子创造更大的价值和福利。