vlambda博客
学习文章列表

        经过一轮紧张的排查修复，斗鱼SRC将重新有条件接收Apache Log4j2相关的RCE漏洞，RCE漏洞的确认标准为成功执行获取存在漏洞的主机的hostname。

       由于此漏洞到目前为止依然影响广泛，故对此漏洞的提交作出以下说明：

     1. 切勿进行反弹shell等威胁的入侵恶意行为，漏洞证明存在后，禁止进一步利用；如需深度利用，请与运营协商备注IP，如无备注进行深度利用，视为违规，情节严重者将追究法律责任；

     2. 简单dns解析传递记录将被忽略处理，漏洞报告中请附上详细POC证明，如攻击入口、请求包等；

     3. 漏洞易于检测，按“中危”进行评级，按核心业务系数（DYSRC漏洞奖励标准及评分细则V4.1）发放积分；

     4. 由于漏洞调用链可能存在多条，单个有效漏洞的计算规则为接口及主机hostname的无重复性，识别为相同漏洞源一般只给第一个提交者奖励；