Окренительную дыру обнаружили на прошлой неделе в одном из самых используемых модулей Java — log4j. Тупо безо всякой авторизации удаленно можно запускать любой код с правами виртуальной машины. Умелец, который встроил такую дыру, наверное либо очень смелый, либо хитрый, либо рукожопый. У нас вчера и сегодня все на ушах стоят, проверяют у кого сервера уязвимые. Мой отдел спасло только то, что мужик, который пакует софт, любит экономить место. Поэтому он убрал модуль JNDI, через который и запускается вредоносный код. Интересно как у всех эта проблема прошла.

Да никто туда специально не встраивал. Тупо поделие, построенное в концепциях современного RAD.
Хороший повод выкинуть эту херь.

p.s. log4j как старший братец log4net тоже из коробки не умеет в trace ?