Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты, opennews (??), 10-Дек-21, (0) [смотреть все] 171 катастрофическая 187 , лол, Аноним (1), 09:23 , 10-Дек-21, (1) –11 // Ну учитывая где используется Java и как там дела с обновлениями, то действительн, Аноним (4), 09:30 , 10-Дек-21, (4) +28 Не так давно пол-США сидели без бензина и мяса когда ломанули оператора трубопро, Аноним (20), 10:06 , 10-Дек-21, (20) +6 Для того чтобы понять почему катастрофическая запусти у себя netcat на порту 389, Аноним (-), 11:10 , 10-Дек-21, (46) +1 // Главное чтобы маски-шоу из категории разного в дверь и окна не полезли , Онаним (?), 11:39 , 10-Дек-21, (54) +8 Поэтому лучше IP конечно не свой , Онаним (?), 11:40 , 10-Дек-21, (55) // И с чужого банковского счёта перевод делать, ага, Аноним (84), 13:19 , 10-Дек-21, (84) В банках доступ в интернет, да даже в соседний vlan закрыт Так что ищите где-то, Аноним (60), 11:53 , 10-Дек-21, (60) // И как вы online-банком если всё закрыто пользуйтесь Только не говорите, что там, Аноним (68), 12:28 , 10-Дек-21, (68) +2 Да нет, дол-еов тыщи же ж Вспоминая один из самых круто-обинтернетившихся в перв, пох. (?), 08:54 , 11-Дек-21, (137) –1 Чё за поток сознания лол, иди таблеточки пропей, Аноним (175), 02:13 , 27-Дек-21, (175) Переполнение буфера, говорили они Безопасность, говорили они Позор и срамота , Антонио (??), 09:28 , 10-Дек-21, (2) +13 // Простите за моё невежество, но как связаны реализация в языке и нечто криво реал, btrfs (?), 09:43 , 10-Дек-21, (9) +6 // Есть свидетели того, которые утверждают, что если убрать риски работы с памятью,, Аноним (11), 09:49 , 10-Дек-21, (11) +30 // Простите, но Вы звиздите Никто из них не утверждал, что прям всё само наладитс, Аноним (39), 10:47 , 10-Дек-21, (39) Там даже обратный эффект, я бы сказал - понижается vulnerability awareness, со в, Онаним (?), 10:54 , 10-Дек-21, (43) +5 Надежда на серебрянопульность инструмента склонна отключать рассудок с весьма пе, Michael Shigorin (ok), 12:30 , 10-Дек-21, (69) –3 // Любите вы Миша обобщать, и делать выводы космического масштаба а сами все лето, ыы (?), 16:40 , 10-Дек-21, (114) –1 Эту пулю ещё Фредерик Брукс в 1986-м обобщил , n00by (ok), 17:47 , 10-Дек-21, (123) Им читать некогде - видеокурсы же есть, Аноним (124), 18:06 , 10-Дек-21, (124) Раньше надо было срывать стек, писать шелл-код на ассемблере, не ошибиться с адр, Аноним (84), 13:31 , 10-Дек-21, (92) +10 // О дивный новый мир , ыы (?), 16:42 , 10-Дек-21, (115) Можно даже от смузи не отрываться, да, я тоже оценил , Онаним (?), 16:55 , 10-Дек-21, (118) +2 Раньше мистеры Буггерс и Хуккерс предупреждали, что все умеют компелировать спло, n00by (ok), 17:13 , 10-Дек-21, (120) А ведь скоро придет время, когда они додумаются прикрутить продвинутый искусстве, Аноним (171), 22:20 , 13-Дек-21, (171) ага, спасибо прямо вот только что проснулся и побежал патчить свои Apple iCloud, Аноним (3), 09:30 , 10-Дек-21, (3) –6 бред какой-то даже если торчит майнкрафт голой ж в инет, ну запишите в логгер, лютый жабби__ (?), 09:43 , 10-Дек-21, (8) –3 // А то что почти все банки на Java При чем там лютый legacy, Аноним (4), 09:45 , 10-Дек-21, (10) // ты неправ слышал, что у немцев можно 6-ку встретить, но в рф 8-11 уже почти вез, лютый жабби__ (?), 10:04 , 10-Дек-21, (19) // Там легаси проприетарь, которая возможно уже местами просто не поддерживается, н, Онаним (?), 10:43 , 10-Дек-21, (37) +7 в УдмуртСельхозБанке разве только , лютый жабби__ (?), 12:59 , 10-Дек-21, (77) –3 Неправда, некоторые банки ещё на COBOL, и планируют перейти на модно-молодёжную , йо (?), 10:38 , 10-Дек-21, (34) +2 log4j2 log4jЛютое легаси - это про log4j Если притащили log4j2 , значит, сра, OramahMaalhur (ok), 13:30 , 10-Дек-21, (91) +2 Написал в чате записало в логи взломПроголосовал на мониторинге с NuVotifier, BratishkaErik (ok), 10:29 , 10-Дек-21, (27) +4 // Вот и состав преступления , ыы (?), 16:44 , 10-Дек-21, (116) +1 Но как же ж так Ведь жаба же ж - безопастная , пох. (?), 09:51 , 10-Дек-21, (13) // Ни разу не безопасная, Аноним12345 (?), 10:01 , 10-Дек-21, (18) +1 // Шо, и указатели можно , Аноним (42), 10:52 , 10-Дек-21, (42) // учитывая что любой объект в джаве - это указатель, то в джаве указатели не прост, aa (?), 11:43 , 10-Дек-21, (56) +3 можно конечно, смотря что а ещё можно утечки памяти нагомнокодить, которые GC н, лютый жабби__ (?), 12:14 , 10-Дек-21, (66) +2 у нас индусы написали автотесты в которых была статичная мапа в который все конт, barracuda92 (ok), 21:49 , 10-Дек-21, (129) дедики с 64ГБ стоят 3 тыра в месяц я б не работал в такой помойке, где раму жмо, лютый жабби__ (?), 11:49 , 11-Дек-21, (140) –1 Жаба саморефлексаная и полностью динамическая Так что, можно, в общем-то, всё , Наме (?), 11:45 , 13-Дек-21, (167) Скилл написать небезопасно на каком угодно языке позволяет это преодолеть И не , Котофалк (?), 10:35 , 10-Дек-21, (32) +1 Это не Ява, это log4j , йо (?), 10:41 , 10-Дек-21, (36) +3 // Который к сожалению в рот тащит каждый третий проект из двух , Онаним (?), 10:47 , 10-Дек-21, (38) Ну возьми самый безопасный язык у тебя, как я смею предположить, основываясь на, Аноним (39), 11:01 , 10-Дек-21, (45) +1 // Изучите тему и не пишите подобное Задача не решается в общем виде , n00by (ok), 17:22 , 10-Дек-21, (121) Давайте все усложним, что бы потом все упростить сложными путями , d (??), 10:00 , 10-Дек-21, (16) +3   // CODE ls CODE , Michael Shigorin (ok), 12:37 , 10-Дек-21, (74)   Есть мнение, что для отдельно взятой задачи сложность постоянна Вопрос лишь в т, Аноним (133), 22:32 , 10-Дек-21, (133) –1   Это действительно катастрофаС системой можно делать все что угодноЖаба, господа,, Аноним12345 (?), 10:00 , 10-Дек-21, (17) +1 // Она как бы опенсорс, господин Ну и причем тут язык и платформа, если дело в либ, Bogdan (??), 18:29 , 10-Дек-21, (125) +1 Да весь код на яве такой дырявый Чтобы передать стрингу или простейший boolean , Аноним (21), 10:09 , 10-Дек-21, (21) –1 // Где вы такое последний раз видели И звучит странно Что бы пкередать стрингу , Bogdan (??), 18:31 , 10-Дек-21, (126) Ох, я не успел сделать новость А вообще это круто 8212 пусть люди поскорее, BratishkaErik (ok), 10:09 , 10-Дек-21, (22) +2 Jndi для лога это точно нужная фича которая должна быть включена у всех по умолч, Аноним (24), 10:11 , 10-Дек-21, (24) +4 // Бездумный eval а это по сути своей eval в генерируемом обычно с использованием, Онаним (?), 10:57 , 10-Дек-21, (44) +8 // Выполнять логи - это конечно крипота та еще, но, я так понимаю, это ради произво, aa (?), 11:52 , 10-Дек-21, (59) +1 // logger isInfoEnabled , OramahMaalhur (ok), 13:35 , 10-Дек-21, (93) если всё руками делать, то можно и на С писать а тут можно просто сказать логгер, а (?), 15:26 , 11-Дек-21, (146) При необходимости передавать в логгер помимо строки раннер для нужных запросов , Аноним (158), 05:21 , 13-Дек-21, (158) Как вариант В PHP легко closure передать В жабе не в курсе, далёк от , Онаним (?), 07:18 , 14-Дек-21, (173) log4net в безопасности , Аноним (28), 10:29 , 10-Дек-21, (28) –1 Кстати,поищите у себя в логах appdynamics Эксплуатируемо или нет - не знаю, но , пох. (?), 10:31 , 10-Дек-21, (29) +2 У меня вчера stream play на стиме сам без особой причины запустился И начал дви, Аноним (30), 10:31 , 10-Дек-21, (30) Блин Мои хелловорлды юзают log4j2 Ждем фиксов , DEF (?), 10:35 , 10-Дек-21, (31) Макаки конечно везде одинаковые, да Это ж надо такую срань в систему логгирова, Онаним (?), 10:40 , 10-Дек-21, (35) +4 По непроверенным данным дыра проявляется в госуслугах и вёбинтерфейсах кучи круп, Аноним (-), 10:49 , 10-Дек-21, (40) // appdynamics, да Страховые из первой десятки туда же так ты американские проверя, пох. (?), 11:15 , 10-Дек-21, (47) +2 // А потом пожизненно прячься от выдачи в родных говеньях, Аноня (?), 12:34 , 11-Дек-21, (142) +1 Сбеги в Бриташку и оттуда проверяй , Аноня (?), 12:28 , 11-Дек-21, (141) Даже в Amazon S3 проявляется, Аноним (158), 05:05 , 13-Дек-21, (157) Типа безопасные языки Надо было писать на Rust , Аноним (42), 10:51 , 10-Дек-21, (41) –3 // как, в нем нет eval Нельзя загрузить в процесс какой-нибудь неожиданный код из, пох. (?), 11:16 , 10-Дек-21, (49) +3 // eval нет, а используемые большинством библиотеки для логгирования в ldap не стуч, morphe (?), 13:16 , 10-Дек-21, (82) // тысячигласс проверял, зуб дает А то большинство из нас полагаю о такой нужной и, пох. (?), 13:21 , 10-Дек-21, (87) +2 А в Rust даже нет смысла подобное делатьЗачем в жаве чтение из ldap пихнули в ст, morphe (?), 14:41 , 10-Дек-21, (99) +2 весь прикол в том что оно вовсе не userid получало Оно получало КОД который ис, пох. (?), 15:09 , 10-Дек-21, (101) Я привёл пример того, как эту фичу задумывалось использовать, эксплуатация выгля, morphe (?), 22:11 , 12-Дек-21, (155) Так и на яве можно сделать то же самое И вообще как уже сказали суть уязвимости, Аноним (108), 15:29 , 10-Дек-21, (108) +1 Нефига не правильно В ответ на JNDI-запрос исполняющий код не должен грузить кл, Наме (?), 11:10 , 13-Дек-21, (164) Ага, язык, на котором ты напишешь систему управления атомным реактором, должен б, Аноним (39), 11:26 , 10-Дек-21, (50) +1 // Конечно, язык Сейчас так модно разрабатывать - ядерные реакторы, ракеты особен, пох. (?), 13:30 , 10-Дек-21, (90) +2 // Пох, как всегда, передергиваешь Язык не должен знать в какой последовательности, Аноним (39), 15:12 , 10-Дек-21, (103) да-да, во всем виноват, помнити его - автор leftpad Взял и сломал нам весь инте, пох. (?), 15:16 , 10-Дек-21, (105) –2 Да тут не в языке дело Тут чтобы палку-копалку выстругать - изобрели бензопилу, , Онаним (?), 19:42 , 11-Дек-21, (149) Это где-то около надувания щёк - посмотрите, как мы можем Не зря же есть хорошая, Онаним (?), 19:42 , 11-Дек-21, (150) да ладно это фон Браун с камрадами изобретали с нуля потом они в качестве трофе, john_erohin (?), 13:10 , 11-Дек-21, (143) ну так камрады и изобретали Тов Королев и другие ответственные товарищи - руков, пох. (?), 13:32 , 11-Дек-21, (144) –1 будет врать-то союз на старте взрывался протон на старте взрывался раз пять, не, Михрютка (ok), 00:24 , 12-Дек-21, (151) Приплетаю тот самый Линдукс Тоже ведь торопились к праздничку Интересно, где о, n00by (ok), 12:38 , 12-Дек-21, (153) –1 А Маску - похрен, у него еще есть Бесконечные же ж был бы он предсказуем - п, пох. (?), 08:35 , 13-Дек-21, (160) –1 вы что, знакомы с вопросом исключительно по пересказам товарища рабиновича успет, Михрютка (ok), 16:51 , 13-Дек-21, (168) Я знаком по пересказам людей, работавших в отрасли А вот у тебя очень похоже на , пох. (?), 17:39 , 13-Дек-21, (170) –1 а я, дяденька, просто кратко вам пересказал доклад близко не бывавших рабино Wчл, Михрютка (ok), 01:19 , 14-Дек-21, (172) Успагойся, то был просто растотроллинг , Аноним (42), 15:10 , 10-Дек-21, (102) // Ну неприятно испытывать испанский стыд из-за таких петросянов Типа шутка-тролли, Аноним (39), 15:17 , 10-Дек-21, (107) +1 Это не уязвимость Это - бэкдор, подобную функциональность включать в логах , Аноним (48), 11:16 , 10-Дек-21, (48) +2 // Это не уязвимость, и не бэкдор Это макакинг А чо Эвал прямо в логе - круто же, Онаним (?), 11:36 , 10-Дек-21, (52) +4 Фреймворк для ведения логов - это звучит крутенько , Онаним (?), 11:50 , 10-Дек-21, (58) +1 глобально и надёжно, mos87 (ok), 12:06 , 10-Дек-21, (61) +3 // Надежно можно получать неофициальную информацию от кого угодно Да там таких уяз, Аноним (64), 12:13 , 10-Дек-21, (64) // Вспомнилось https www opennet ru openforum vsluhforumID3 125836 html 85 наде, Michael Shigorin (ok), 13:04 , 10-Дек-21, (78) Энтерпрайзно Logs-as-a-code , Онаним (?), 16:58 , 10-Дек-21, (119) +2 А вот если бы писали на Хаскеле , Аноним (64), 12:11 , 10-Дек-21, (63) // да с таким же упованием на дело рук человеческих токмо , Michael Shigorin (ok), 13:05 , 10-Дек-21, (79) Говоря откровенно, Log4j уже лет 10 как не рекомендуется использовать Есть SLF4, Аноним (65), 12:14 , 10-Дек-21, (65) // У нас в рекомендациях от архитектуры всё ровно наоброт, мол slf4j и logback уже , Аноним (67), 12:25 , 10-Дек-21, (67) +1 // Если пользоваться Spring, то logback официально рекомендуемый , Аноним (65), 12:45 , 10-Дек-21, (75) // А не надо спрингом пользоваться , Наме (?), 11:15 , 13-Дек-21, (166) он log4j 1х, это да, 10 лет из танка не вылезал, ELF (ok), 13:25 , 10-Дек-21, (88) +2 // ты уверен что во второй версии нет той же самой фичи Не может быть Должны были, пох. (?), 15:16 , 10-Дек-21, (106) речь как раз про вторую версию - рекомендуемую с дебильной фичей , а первую не , ELF (ok), 16:38 , 10-Дек-21, (113) +1 а, ну вот, теперь мир снова перевернут в нормальное положение В первой может и п, пох. (?), 13:36 , 11-Дек-21, (145) Есть JUL и его хватает для всего , Наме (?), 11:15 , 13-Дек-21, (165) Много где slf4j стоит с log4j бекендом, из-за того что много существующих либ ра, morphe (?), 13:21 , 10-Дек-21, (86) +1 Slf4j - по сути фасад, который можно навесить над разными логерами, в т ч log4j, Ololo (?), 16:23 , 10-Дек-21, (111) +1 Глупость, куда твой slf4j логирует Это интерфейс , hohoho (?), 21:55 , 10-Дек-21, (131) // в logback, как выше написано, Аноним (-), 09:42 , 11-Дек-21, (139) там чтобы уязвимость работали макака должна пользовательскую строку не как парам, Аноним (70), 12:34 , 10-Дек-21, (70) +1 // Неа, оно раскрывается уже после подстановки параметров в строку форматированияТ , morphe (?), 13:18 , 10-Дек-21, (83) +1 Самое время задействовать умение настройки firewall Блокируем исходящие соединен, Аноним (72), 12:36 , 10-Дек-21, (72) +1 // ой, вендовая сеть легла Кнутователь уже бежит в твою сторону Не, я не советую в, пох. (?), 13:11 , 10-Дек-21, (81) +1 В url можно свой порт передать, никто не заставляет сервер с ldap держать не на , morphe (?), 13:19 , 10-Дек-21, (85) +1 // ffuck и что, эта тварь туда и полезет я почти уверен что таки да, к к к код, пох. (?), 15:13 , 10-Дек-21, (104) –1 Причём тут java впринципе Мамкины кодеры любят использовать тонны third-party ф, Аноним (80), 13:06 , 10-Дек-21, (80) +2 // молодец, профессионала за версту видно, ELF (ok), 13:28 , 10-Дек-21, (89) +3 А вы таки переизобретаете логгер для критически уязвимой инфраструктуры каждого , OramahMaalhur (ok), 14:11 , 10-Дек-21, (96) +4 // Не надо переизобретать логгер Достаточно один раз его написать, и каждый хеллоув, Онаним (?), 21:04 , 10-Дек-21, (127) Абсолютно да Third party только по абсолютной необходимости, всегда хотя бы с, Онаним (?), 21:05 , 10-Дек-21, (128) +1 Вполне ожидаемо от апача и жавы , Аноним (94), 13:41 , 10-Дек-21, (94) У бизнеса лог4ж-1 2 массово все эти новые технологии в бизнес не придут еще , IdeaFix (ok), 16:12 , 10-Дек-21, (109) +2 Зато Eclipse после установки лагина приходится перезапускать , n00by (ok), 17:41 , 10-Дек-21, (122) В статье не упоминается что уязвимость в PatternLayout Если вы используете друг, hohoho (?), 21:59 , 10-Дек-21, (132) Вспоминается та недавняя уявзимость в imagemagick Тоже ходило в интернет куда с, Аноним (134), 22:46 , 10-Дек-21, (134) // По хорошему такого поведения без лишних телодвижений быть не должно и предупрежд, Аноним (136), 03:33 , 11-Дек-21, (136) +1 На жабе не пишу, но недавно приходилось прикручивать кое-какие поделки через JNI, Аноним (-), 23:07 , 10-Дек-21, (135) –1 // Не читай ту глупую мурзилку больше Жабу ждет судьба кобола возведенного в фактор, пох. (?), 09:04 , 11-Дек-21, (138) –1 // Вот уж действительно все плохо там у вас Не, снова учить всякую каку это уж слиш, Аноним (-), 03:14 , 13-Дек-21, (156) +1 Программистам на Коболе так и не стали платить заоблачные зарплаты, Аноним (84), 16:06 , 11-Дек-21, (147) // В России Конечно не платят, откуда в ней софт на Коблое В США к примеру - пл, _ (??), 03:45 , 12-Дек-21, (152) +2 // будут эмулировать Квалификация исчезает быстрее мэйнфреймов, поэтому переписать, пох. (?), 08:28 , 13-Дек-21, (159) –1 Облака медленные и данные из мэнфрейма перенести это как на луну в очередной раз, Наме (?), 10:32 , 13-Дек-21, (163) Весь мир в труху, абсурд, коррупцию, хаос и скайнеты PS Java - и пусть весь м, InuYasha (??), 17:12 , 11-Дек-21, (148) катастрофическая, spanjokus (ok), 17:13 , 12-Дек-21, (154) log4j всегда был индуским шлаком Надо быть без башки, чтобы его использовать в , Наме (?), 10:24 , 13-Дек-21, (161) А файрвол не JNDI-запросы наружу это как-то вызывает вопросы, мягко скажем , Наме (?), 10:30 , 13-Дек-21, (162) В теории, если в java security настроено разрешение загрузки классов только из р, shricke (??), 17:37 , 13-Дек-21, (169) +1 А все потому, что не на растишке написан , szt1980 (ok), 00:02 , 17-Дек-21, (174) –1 1,2,3,8,13,16,17,21,22,24,28,29,30,31,35,40,41,48,61,63,65,70,72,80,94,109,122,132,134,135,148,154,161,162,169,174

Сообщения

[Сортировка по времени | RSS]

16. "Катастрофическая уязвимость в Apache log4j, затрагивающая мн..."	+3 +/–
Сообщение от d (??), 10-Дек-21, 10:00
Давайте все усложним, что бы потом все упростить сложными путями.
Ответить | Правка | Наверх | Cообщить модератору

	74. "Катастрофическая уязвимость в Apache log4j, затрагивающая мн..."	+/–
	Сообщение от Michael Shigorin (ok), 10-Дек-21, 12:37
	ls / !
	Ответить | Правка | Наверх | Cообщить модератору

	133. "Катастрофическая уязвимость в Apache log4j, затрагивающая мн..."	–1 +/–
	Сообщение от Аноним (133), 10-Дек-21, 22:32
	Есть мнение, что для отдельно взятой задачи сложность постоянна. Вопрос лишь в том, где она сконцентирирована - в твоём коде или в сторонних компонентах.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема