forum.opennet.ru

"Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."	+1 +/–
Сообщение от Аноним (70), 20-Дек-21, 08:11
Кто конкретно внёс указанную уязвимость? С современными системами контроля версий выяснить это не составляет труда. Почему старательно обходятся вопросы персональной ответственности разработчика? Или лицензия на этот самый Log4j не даёт возможность привлекать разработчиков? Тогда почему сотни проектов используют код, за который никто и никак не отвечает? Всё это очень странно.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов, opennews, 18-Дек-21, 23:43 [смотреть все]

Те, у кого по какой-то причине до сих пор нигде нет жавы во все щели, выдохнули , Аноним, 18-Дек-21, 23:43 (1) //
- По апач продуктам вообще не страдаю, не пользуюсь совсем , Аноним, 19-Дек-21, 03:45 (21) //
  - Apache Kafka смеётся тебе в лицо , Аноним, 19-Дек-21, 14:17 (54) //
    - Есть redpanda, Аноним, 19-Дек-21, 14:25 (55)
      - Только у тебя А у нас в далеко не мелкой конторе -- кафка , Брат Анон, 19-Дек-21, 18:32 (60)
        
        Снимем шляпу, помянем , Заноним, 19-Дек-21, 21:56 (66)
        А log4j у вас есть Большому кораблю - большую торпеду , Аноним, 24-Дек-21, 08:03 (120)
    - Что за хрень и почему её у меня ещё нет , Аноним, 19-Дек-21, 20:19 (61)
- Угу Пара аппликух есть, но всё Not Affected, судя по приведённому листу, да и в, Онаним, 19-Дек-21, 07:07 (26)
- У меня Ignition, правда он всё равно только через ssh доступен , commiethebeastie, 19-Дек-21, 10:04 (34)
- Да успокойтесь Не все используют log4j2, и не всех оно касается даже из тех, кт, Аноним, 19-Дек-21, 10:49 (39) //
  - У меня нет дыры, у меня нет дыры , - это такая новая молитва, что ли , Аноним, 19-Дек-21, 20:25 (62) //
    - Нет Здравый расчёт и понимание архитектуры своих приложений и используемых ими , Аноним, 20-Дек-21, 17:36 (94)
- - - -j , жорик, 21-Дек-21, 23:02 (114)
- code - - -j code , жорик, 21-Дек-21, 23:02 (115)
Ну логично, в принципе После нахождения уязвимости каждый старается по максимум, zloykakpes, 18-Дек-21, 23:46 (2) //
- Спекулятивное выполнение уже стало пуленепробиваемым после всей той истори , Аноним, 19-Дек-21, 00:23 (5)
- Fixed, Онаним, 19-Дек-21, 09:48 (31)
- Или все плюнут на неё и просто будут использовать другой логгер Благо, переходн, Аноним, 19-Дек-21, 10:50 (40) //
  - Отлично, а они эти чудные выражовывания реализуют И если да, то они это секурно, Аноним, 24-Дек-21, 08:04 (121)
- У log4j архитектор умственно отсталый, как и персонажи прикатывающие этот хлам с, all_glory_to_the_hypnotoad, 19-Дек-21, 13:33 (52) //
  - покажи свой неумственноотсталый log4j , Аноним, 19-Дек-21, 17:01 (58) //
    - Сначала добейся с , Аноним, 19-Дек-21, 20:41 (64)
    - Потому что нужно стараться делать в рамках кодовой базы SE или ЕЕ, а не тянуть в, Наме, 20-Дек-21, 11:31 (78)
    - syslog, слушает 514 udp, если rsyslog, то еще и tcp можно настроить, для гаранти, andy, 20-Дек-21, 21:03 (99)
Астрологи объявили неделю уязвимостей Log4j, Аноним, 18-Дек-21, 23:55 (3) //
- астрологи из DARPA наверное, x3who, 19-Дек-21, 00:22 (4)
Хороший однако ящик Пандоры открыли в этом году, Аноним, 19-Дек-21, 00:31 (6) //
- Кто сказал, что им не пользовались в предыдущих годах , Аноним, 19-Дек-21, 00:41 (9) //
  - Ну так открыли то в этом, Аноним, 19-Дек-21, 04:36 (24) //
    - Так сказать, уведомили, что давно вертели вас на , Аноним, 19-Дек-21, 08:15 (28)
- Майки выкатили кор 6, им нужно потолкаться на уже сложившемся рынке Вот и откр, Наме, 20-Дек-21, 11:33 (80) //
  - Как консервы могут протухнуть Они же закрыты от внешней среды, Аноним, 21-Дек-21, 13:39 (110)
С нормальными политиками fw исходящего траффика с продакшена риски можно заметно, Аноним, 19-Дек-21, 00:39 (7) //
- Почти всегда DNS-трафик разрешен, т к нужен Пихаешь данные в base64 и отправля, Аноним, 19-Дек-21, 11:41 (47) //
  - Правильно настроенный fw не ограничивается tcp udp портами in out Все пихания да, Аноним, 19-Дек-21, 15:09 (57)
  - JNDI-запрос это не DNS-запрос , Наме, 20-Дек-21, 11:34 (81) //
    - - если в качестве реестра не используется DNS-сервер, что возможно Выпендрился , MVK, 20-Дек-21, 13:01 (87)
а что это за Log4j , Аноним, 19-Дек-21, 00:57 (10) //
- Log4j 8212 сторонняя библиотека логирования В самой Java JRE JDK есть собств, iZEN, 19-Дек-21, 01:30 (12) //
  - Спринг использует логфоджи в зависимостях , Наме, 20-Дек-21, 12:41 (86) //
    - Сам Спринг spring-core зависит от JCL, а в Spring Boot spring-boot-starter-lo, Аноним, 20-Дек-21, 19:33 (96)
- Библиотека для троянов Это надо же наумиться надо было разыменовывать внешние с, Аноним, 19-Дек-21, 03:47 (22)
- Leftpad, A.N. Onimous, 26-Дек-21, 22:38 (123)
Нужно валидировать данные которые записываешь в лог А ещё нужно делать обесклычи, Аноним, 19-Дек-21, 01:24 (11) //
- Давным-давно в телеграммах писали так приеду завтра зпт встречайте тчк Это т, Аноним, 19-Дек-21, 03:49 (23) //
  - Тчк зпт использовалось не потому что программисты индусы и не хотят записи в лог, Аноним, 21-Дек-21, 14:25 (111)
- И какая там валидация должна быть Нужно было код библиотеки прочитать и понять,, Аноним, 20-Дек-21, 03:41 (68)
Сглаживает Это как бы основная версия жавы в продакшене В жаве 9 сломали обр, Wilem82, 19-Дек-21, 02:14 (14) //
- кто в трезвом уме и здравой памяти будет переводить прод на java 9 , Тинус Лорвальдс, 19-Дек-21, 02:28 (15) //
  - Её поддержка уже один раз чуть не закончилась Но она таки когда-нибудь закончит, Wilem82, 19-Дек-21, 02:38 (16) //
    - с каких пор поддержка джавы 9 не закончилась она закончилась с выходом джавы 10, Тинус Лорвальдс, 22-Дек-21, 18:39 (119)
- Ни разу не было проблем с миграцией на LTS На Java 11 все отлично мигрируется , Аноним, 19-Дек-21, 02:40 (17) //
  - Что такое отлично Это когда ничего делать не надо, просто заменяешь 8 на 11 и, Wilem82, 19-Дек-21, 02:51 (18) //
    - Отлично от миграции с 2 на 3 питон проекта сложнее Hello World , Вася, 19-Дек-21, 03:01 (19)
    - Мы уже на Java 17 перешли, но нам проще, поскольку проект новый А вы активно ис, zog, 19-Дек-21, 09:14 (30)
      - При чём тут мы Этим всем пользуются популярные библиотеки Перестают они этим, Wilem82, 19-Дек-21, 15:08 (56)
        
        Можете привести пример таких экзотических библиотек Что-то мне ни разу такие не, Аноним, 20-Дек-21, 13:18 (90)
        
        Экзотические библиотеки с обратной несовместимостью при смене мажорной версии ht, Wilem82, 22-Дек-21, 17:58 (118)
    - Там всего несколько мест на самом деле которые поменялись и могут сломать систем, Аноним, 20-Дек-21, 13:15 (89)
  - Да-да-да Эталонные JEE работают только на 8-ке , Наме, 20-Дек-21, 11:36 (82) //
    - - это Вы книге какого года издания прочли , MVK, 20-Дек-21, 13:05 (88)
      - Пятая Рыба работает стабильно только на 8-ке Для этого и книг никаких не надо , Наме, 20-Дек-21, 15:36 (93)
        
        - дружище, зачем пятая то Eclipse GlassFish 6 2 3 - вышел в ноябре и с версии 6, MVK, 20-Дек-21, 20:47 (98)
        GlassFish был эталоном 10 лет назад на сановских наработках Но зачем его сейчас, Аноним, 20-Дек-21, 23:15 (103)
        
        Рыбы как были эталонной реализацией, так ею и остаются 6-тая ветка пока не стан, Наме, 21-Дек-21, 10:08 (106)
        
        - брехня какая то jakarta ee compatibility tab-9И 6й GlassFish и WildFly 23 пр, MVK, 21-Дек-21, 11:31 (109)
        А при чём здесь Spring В Spring Boot по-умолчанию log4j не используется А вот , Аноним, 22-Дек-21, 11:17 (116)
Растаманы, где вы Как это починить самым безопасным языком в мире , Аноним, 19-Дек-21, 03:43 (20) //
- У растоманов шаблоны падают на этапе копиляции, а не в продакшене , Cucumber, 19-Дек-21, 06:43 (25) //
  - Потому-то они ничего написать не могут , Аноним, 19-Дек-21, 08:13 (27)
  - У растоманов логи с продакшена собираются на этапе компиляции , Andrey, 19-Дек-21, 08:24 (29)
- Няша, ты ещё регулярные выражения не видел А как увидишь, сразу седым станешь , Аноним, 19-Дек-21, 09:55 (32) //
  - И в регулярных выражениях тоже могут быть зацикливания, Аноним, 19-Дек-21, 09:57 (33)
  - aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa p s это не то что вы подумали, это , Аноним, 24-Дек-21, 08:05 (122)
- И вам доброго утречка, Евгений Ваганович , Прохожий, 19-Дек-21, 10:39 (38)
кто может толково объяснить почему этот log4j все пытаются патчить, а не заменя, Аноним, 19-Дек-21, 10:16 (35) //
- Потому что пропатчить дешевле, чем заменить Ваш Кэп , Прохожий, 19-Дек-21, 10:37 (37) //
  - пока не получается - всё новые и новые дыры получаются , Аноним, 19-Дек-21, 10:53 (41)
  - По десять раз накатывать это шерето и оно до сих пор уязвимо Там уже украли всю, Аноним, 19-Дек-21, 11:38 (45)
- Потому что не в курсе, что есть адаптеры на другие логгеры - http logback qos , Аноним, 19-Дек-21, 10:53 (42)
- Да, я могу объяснить 1 Я сомневаюсь, что _все_ пытаются патчить, _вместо_ того,, Ordu, 20-Дек-21, 01:22 (67) //
  - А, может, надо не переползать, а бежать Тогда быстрее будет Были времена, когд, Аноним, 20-Дек-21, 08:17 (72) //
    - Тебе нужна стабильность или скорость Тут ситуация такая, что чем быстрее бежишь, Ordu, 20-Дек-21, 10:37 (77)
      - Хорошее ПО это прежде всего про деньги, а не про думающих программистов Про оче, Наме, 21-Дек-21, 10:35 (108)
- Причина простая Увы, большинство крупных проектов на Жабе, мягко скажем, крайне, Наме, 20-Дек-21, 11:42 (83) //
  - В любом более-менее современном пакетном менеджере для Java очень легко вырезать, Аноним, 20-Дек-21, 23:19 (104) //
    - Может быть, но по-моему, не меняется он легко в проекте, которому лет дцать, и у, Наме, 21-Дек-21, 10:17 (107)
      - gradle, maven, sbt, ivy, Откройте maven search и посмотрите - https search, Аноним, 21-Дек-21, 19:11 (112)
        
        exclusions exclusion -- declare the exclusion here -- , iZEN, 21-Дек-21, 19:18 (113)
        
        configurations all exclude group log4j , module log4j PS нравится XML, Аноним, 22-Дек-21, 11:21 (117)
- - -j , Аноним, 19-Дек-21, 13:19 (49) //
- толстый троллинг, Аноним, 19-Дек-21, 13:28 (51)
- cat test test test 124 perl -e s s s s - - 124 , Аноним, 19-Дек-21, 20:30 (63) //
  - 124 124 124 124 124 124 124 124 124 124 , xrensgory, 19-Дек-21, 21:14 (65)
Вот это и есть opensource эффект миллиона глаз В популярном пакете нашлась дыра, pda, 19-Дек-21, 18:05 (59) //
- что-то из серии Как за дешево провести аудит безопасности , Аноним, 20-Дек-21, 07:45 (69)
Кто конкретно внёс указанную уязвимость С современными системами контроля верси , Аноним, 20-Дек-21, 08:11 (70) //
- Ты даже и MS не привлечёшь, таков путь , Аноним, 20-Дек-21, 08:13 (71)
- А почему ты обходишь такой вопрос что ты можешь сам поиском найти коммиты и во в, Аноним, 20-Дек-21, 10:04 (75)
Похоже я узнал о существовании чего-то о чём мне не стоило знать , Аноньимъ, 20-Дек-21, 08:20 (73) //
- Да факт существования такой защиты это секрет Не стоит вскрывать эту тему Ты м, Аноним, 20-Дек-21, 10:07 (76)
- глубина рекурсии, Sw00p aka Jerom, 20-Дек-21, 11:32 (79)
Наверное еще и логи бинарные у этого говна , Аноним, 20-Дек-21, 09:06 (74) //
- Бинарные Это ущемляет интересы меньшинств , Аноним, 20-Дек-21, 11:51 (84)
- Как не стыдно такое говорить Логов - множество разновидностей гомонарные, лезб, Аноним, 21-Дек-21, 00:56 (105)
Жаба уже никогда не будет прежней, Аноним12345, 20-Дек-21, 12:40 (85)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру