https://www.opennet.ru/openforum/vsluhforumID3/132327.html Компания Veracode опубликовала результаты исследования актуальности критических уязвимостей в Java-библиотеке Log4j, выявленных в прошлом и позапрошлом годах. Изучив 38278 приложений, используемых в 3866 организациях, исследователи из Veracode обнаружили, что 38% из них используют уязвимые версии Log4j. Основной причиной продолжения применения устаревшего кода является встраивание в проекты старых библиотек или трудоёмкость миграции с уже неподдерживаемых веток на новые ветки, в которых нарушена обратная совместимость (судя по прошлому отчёту Veracode, 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60287<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#35 Tue, 19 Dec 2023 15:50:06 GMT &gt;&gt; А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...<br>&gt; как правило это всё упирается "ой, а мы что-то зарелизили 10 лет <br>&gt; назад, васян нам в виде бинарей принёс, а где исходники знает <br>&gt; только пред-пред-пред-пред-предыдущий владелец проекта" <br><br>Это если проект был - а то и вовсе "библиотека-на-delphi" замнчальника АСУ ТП 10 лет назад для себя написал )))<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#34 Tue, 19 Dec 2023 13:08:04 GMT &gt; А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...<br><br>как правило это всё упирается "ой, а мы что-то зарелизили 10 лет назад, васян нам в виде бинарей принёс, а где исходники знает только пред-пред-пред-пред-предыдущий владелец проекта"<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#33 Mon, 18 Dec 2023 11:22:13 GMT У сурового ынтерпрайза нет денех на тестовый стенд?<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#32 Sun, 17 Dec 2023 05:55:35 GMT &gt; в системообразующих конторах постоянно покупают аудиты и пентесты<br><br>в остальном мире всем насрать это факт подтвержденный опытом более чем 25 лет...<br><br>в зазаборье мне неизвестно, так как уровень ИТ продуктов кране секретен и редко кому вообще неизвестен в условиях этакой редкостной секретности, а как следствие и ломать его крайне сложно.<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#31 Fri, 15 Dec 2023 19:26:38 GMT Обновил log4j и твой вдыртынпрайз упал лишь поэтому? Этот как же криво у вас там всё написано?<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#30 Fri, 15 Dec 2023 15:37:30 GMT Minecraft - игра с миллионами игроков, как на лицензионных, так и на пиратских серверах.<br>Уязвимость Log4J вкупе с "интересно" написанным кодом Minecraft'а привела к тому, что для произвольного исполнения кода нужно было всего лишь написать специально оформленный текст в чат.<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#29 Fri, 15 Dec 2023 14:34:51 GMT &gt;Открою страшную тайну там где корпорации,<br><br>ты звиздишь... в системообразующих конторах постоянно покупают аудиты и пентесты. другая проблема, что обновить все 100500 зоопарков одним днем не выйдет.<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#28 Fri, 15 Dec 2023 10:38:41 GMT Данная уязвимость воспроизводится только при использовании log4j с форматированием логов через PatternLayout.<br>Если вы используете другой, например json формат, то проблемы нет даже с уязвимой версией.<br> https://www.opennet.ru/openforum/vsluhforumID3/132327.html#27 Fri, 15 Dec 2023 06:51:24 GMT И ниодна ж падла, кто торгует безопасностью, не напишет, что с помощью этой уязвимости можно реально что-то сделать.<br><br>Пруфы в студию, сколько проектов взломали через эту уязвимость ?<br>