Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту,
opennews (??), 15-Дек-21, (0) [смотреть все]
- Скрыто модератором,
Аноним (1), 10:33 , 15-Дек-21, (1) –2
- Скрыто модератором,
InuYasha (??), 10:33 , 15-Дек-21, (2) //
- Это какой-то позор ,
DEF (?), 10:35 , 15-Дек-21, (3) +16 //
- ну это каждый местный эксперт сам решает,
Аноним (1), 10:36 , 15-Дек-21, (4) +5
- Диды по-другому не могли, постоянно выдумывали какие-то прикольные штуки типа ,
Аноним (5), 10:40 , 15-Дек-21, (5) –7 //
- Диды писали и пушут на Си А джаверы - это растоманы v1 0, как и те, которые прид,
Аноним (25), 11:33 , 15-Дек-21, (25) +14 //
- Ой ли Традиционным языком дидов является пердл со страшными writeonly-регекспам,
Аноним (5), 12:10 , 15-Дек-21, (34) –11
- Ларри слабал perl в 1987 годуИ Ларри, к сведению, лингвист Делал для себя косты,
Аноним (51), 13:00 , 15-Дек-21, (51) +7
- Я сам из дидов, но в пердл толком даже не умею В скриптовых языках мне вообще в,
Аноним (25), 15:58 , 15-Дек-21, (84) +2
- Ну я вот в перл умею И он не страшнее остального, что создавалось в его время ,
Crazy Alex (ok), 17:22 , 15-Дек-21, (88) +4
- bin bash находится одесную Отца Не богохульствуй ,
ms is piace of s (?), 20:18 , 15-Дек-21, (97)
- Тоже скучаю, для скриптов удобнее питона, гораздо более читаемо чем баш, довольн,
keydon (ok), 18:50 , 17-Дек-21, (118)
- Целевая аудитория java была - для кого С слишком сложно Можно сканы журнало,
Аноним (51), 13:04 , 15-Дек-21, (52) +1
- Sun же, или уже забыли ,
АнонимГоним (?), 13:50 , 15-Дек-21, (62) +4
- Ооо, даааа Сам читал интервью с МакНили, которое кто-то вывесил на доске объя,
YetAnotherOnanym (ok), 14:56 , 15-Дек-21, (74)
- Ох ты ж Да, слиплись в памяти в одно ,
Аноним (51), 22:53 , 15-Дек-21, (108)
- прямо как сейчас растаманы ,
примерно_36_скотинок (ok), 13:59 , 15-Дек-21, (64) +2
- Эм, и что в нём сложного ЯП ВУ же Под вопросом только читабельность кода из по,
Аноним (1), 14:59 , 15-Дек-21, (75) –3
- Один известный персонаж с усиками тоже имел привычку смотреть на некоторых как н,
ms is piece of s (?), 20:26 , 15-Дек-21, (99)
- От которых жабисты и научились в format vuln Догнали и перегнали, акселерация ,
Аноним (-), 12:01 , 23-Дек-21, (123)
- Э нет, в log4j 1 x этого не было ,
Mike Lee (?), 11:47 , 15-Дек-21, (26) +4
- Благодаря такому формату IP до сих пор нет Великого Российского Фаервола, потому,
Аноним (66), 14:08 , 15-Дек-21, (66) +5 //
- Не, просто починили не коренную проблему, а залатали именно ту дырку на которую ,
Kuromi (ok), 18:20 , 15-Дек-21, (90)
- Надоели Log4j2 как сам, так и опасный контекст из vulnerability issue, испол,
Аноним (7), 10:43 , 15-Дек-21, (7) –20 //
- Как соотносится использует полтора программиста и подтверждённое проявление уя,
Аноним (9), 10:55 , 15-Дек-21, (9) +8 //
- Фактом наличия в зависимостях проектов То есть, никак, по факту ,
Аноним (7), 11:01 , 15-Дек-21, (11) –3 //
- в нормальном коде не выводятся параметры приходящие от пользователя в лог, плюс ,
полураспад (?), 11:05 , 15-Дек-21, (12) +1
- Выходит нормальный по вашим представлениям код в корпоративной среде не встреч,
Аноним (13), 11:11 , 15-Дек-21, (14) +4
- Скажите это тем, кто пишет в лог значение User Agent, X-Forward-For и прочих заг,
Аноним (18), 11:20 , 15-Дек-21, (18) +2
- Это почему Вот вызвали функцию с какими-то параметрами Функция проверила парам,
Фняк (?), 11:55 , 15-Дек-21, (28) +4
- точно, нормальный код логает в лог только ok и error Предоставляя гадать, что и,
пох. (?), 11:58 , 15-Дек-21, (30) +8
- Проблема не в том что значения от пользователя выводятся в лог, проблема в том ч,
quantic (?), 15:06 , 15-Дек-21, (76) +1
- врать не надо навскидку apache выводит referer и user-agent оба от пользовател,
john_erohin (?), 20:28 , 15-Дек-21, (100)
- Только эксперты с opennet знают как правильно писать код Жаль что почему-то не ,
Аноним (102), 20:45 , 15-Дек-21, (102)
- Это компании которые _сами_ подтвердили проявление уязвимости Log4j в своих прод,
Аноним (18), 11:22 , 15-Дек-21, (20) +2
- 1 Далеко не все делают бесконтрольную подстановку данных, принятых от пользоват,
Аноним (-), 11:58 , 15-Дек-21, (31) +2
- А как надо правильно логировать http запрос от пользователя ,
Аноним (40), 12:36 , 15-Дек-21, (40) +3
- Любым способом, не подразумевающим подстановку поля, полученного от пользователя,
Аноним (7), 12:45 , 15-Дек-21, (42) +2
- А если уже в полученном от пользователя поле ,
Урри (ok), 12:56 , 15-Дек-21, (48)
- утверждая, что их дерьмо надо было покрыть глазурью, посахарить и вот-тогда-то п,
примерно_36_скотинок (ok), 14:02 , 15-Дек-21, (65)
- Если я подставлю допустим объект, содержащий тело и мапу заголовков - это нормал,
Аноним (40), 14:51 , 15-Дек-21, (73)
- Дословно, с предварительным обеззараживанием, обесклычиванием, убеганием и прочи,
YetAnotherOnanym (ok), 15:07 , 15-Дек-21, (77)
- Достаточно любой подстановки внешних данных в лог, не важно как они переданы чер,
Аноним (60), 13:40 , 15-Дек-21, (60) +1
- Причем жопа в том что это как раз то о чем многажды говорили большевики - пытаяс,
пох. (?), 11:56 , 15-Дек-21, (29) +4 //
- У уязвимости есть уже подходящее имя Предлагаю Log4jopa ,
Аноним (10), 11:01 , 15-Дек-21, (10) +8 //
- Log4calypse же,
Аноним (16), 11:15 , 15-Дек-21, (16) +1
- log4jShell,
Анимус (?), 11:30 , 15-Дек-21, (23)
- Log4uckup,
Аноним (56), 13:20 , 15-Дек-21, (56) +4
- Смотреть бесплатно и без регистрации Amateurs Log4Codeshot compilation,
Омномном2 (?), 13:25 , 15-Дек-21, (58)
- Где же тысячи глаз попенсорса которые должны находить каждую уазвимость за на,
Аноним (16), 11:13 , 15-Дек-21, (15) –8 //
- Ну так вот и нашли ,
eugener (ok), 11:19 , 15-Дек-21, (17) +11 //
- находить и не пущать в релиз,
Аноним (16), 11:21 , 15-Дек-21, (19) +1 //
- Э, а вот так мы не договаривались ,
тысячегласс (?), 11:22 , 15-Дек-21, (21)
- Тогда это считалось фичей Круто же, лукапить строчки из лога А эти хакеры всё ,
eugener (ok), 11:22 , 15-Дек-21, (22) +3
- Про релиз договора не было Было только про то что нашли ,
Аноним (33), 12:09 , 15-Дек-21, (33) +2
- Вроде нашёл инженер из Алибабы, в процессе сопровождения внутренностей алибабовс,
DeadMustdie (??), 19:38 , 15-Дек-21, (96)
- Простое решение уязвимости в любой версии - отказ от JNDI в библиотеке log4j-cor,
Анатолий (??), 12:17 , 15-Дек-21, (35) +3 //
- ща погодь, я на продакшоне сразу Скинь плз на почту этот jar с удаленным классо,
Аноним (5), 12:21 , 15-Дек-21, (36) +6 //
- у меня старый log4j версии 2 4переход на 2 15 0 выл связан с несколькими несовме,
Анатолий (??), 12:46 , 15-Дек-21, (43) +4
- На, лови log4j-core-2 4 2 jar exeКороче, это пофикшеный логфорджи, плюс он авто,
ms is piece of s (?), 20:57 , 15-Дек-21, (104) +5 //
- Скрыто модератором,
Аноним12345 (?), 12:48 , 15-Дек-21, (44) –3 //
- А ведь Java безопасно работает с памятью, а всё равно дыра как такое может быть ,
Аноним (67), 14:19 , 15-Дек-21, (67) //
- При чем здесь память, это ошибка поведения - eval произвольных данных ,
cheater (?), 15:14 , 15-Дек-21, (79) +6 //
- Этого не может быть Это заговор, как китайский короновирус ,
gogo (?), 15:46 , 15-Дек-21, (83)
- А ведь люди сперва распарсевают смысл написанного, а всё равно задают глупые воп,
ms is piece of s (?), 20:50 , 15-Дек-21, (103) //
- Ну всё, сейчас будут вместо того, чтобы eval убрать, городить кучу валидаций, и ,
Онаним (?), 20:23 , 15-Дек-21, (98) +7
//
- А ведь это даже не сишечка с переполнением буфера А вполне кошерный менеджмент ,
anonymous (??), 22:48 , 15-Дек-21, (107) +3 //
3,7,10,15,35,67,98,107
|
Вариант для распечатки
