forum.opennet.ru

"Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Катастрофическая уязвимость в Apache Log4j, затрагивающая мн..."	+/–
Сообщение от morphe (?), 12-Дек-21, 22:11
> весь прикол в том что оно вовсе не "userid" получало. Я привёл пример того, как эту фичу задумывалось использовать, эксплуатация выглядит уже конечно не так И это тож самое, ldap тут просто как деталь реализации жава резолвинга, в ldap лежит ссылка на код, а жава этот код грузит и исполняет > Как именно в хрусте можно вызвать КОД по ссылке на блок данных > полученных хз откуда - это к знатокам хруста. Сам Rust такой возможности не предоставляет, максимум возможно подгрузить платформозависимый шеллкод, подготовить для него память (RWX страницы создать, опять же платформозависимым кодом), записать в неё что скачано с сервера, и передать туда управление (Ну и естесно код каким то образом должен найти все нужные ему библиотечные вызовы) Делается это не так просто как жава .class файлы динамически подгружает
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты, opennews, 10-Дек-21, 09:23 [смотреть все]

171 катастрофическая 187 , лол, Аноним, 10-Дек-21, 09:23 (1) //
- Ну учитывая где используется Java и как там дела с обновлениями, то действительн, Аноним, 10-Дек-21, 09:30 (4)
- Не так давно пол-США сидели без бензина и мяса когда ломанули оператора трубопро, Аноним, 10-Дек-21, 10:06 (20)
- Для того чтобы понять почему катастрофическая запусти у себя netcat на порту 389, Аноним, 10-Дек-21, 11:10 (46) //
  - Главное чтобы маски-шоу из категории разного в дверь и окна не полезли , Онаним, 10-Дек-21, 11:39 (54)
  - Поэтому лучше IP конечно не свой , Онаним, 10-Дек-21, 11:40 (55) //
    - И с чужого банковского счёта перевод делать, ага, Аноним, 10-Дек-21, 13:19 (84)
  - В банках доступ в интернет, да даже в соседний vlan закрыт Так что ищите где-то, Аноним, 10-Дек-21, 11:53 (60) //
    - И как вы online-банком если всё закрыто пользуйтесь Только не говорите, что там, Аноним, 10-Дек-21, 12:28 (68)
      - Да нет, дол-еов тыщи же ж Вспоминая один из самых круто-обинтернетившихся в перв, пох., 11-Дек-21, 08:54 (137)
        
        Чё за поток сознания лол, иди таблеточки пропей, Аноним, 27-Дек-21, 02:13 (175)
Переполнение буфера, говорили они Безопасность, говорили они Позор и срамота , Антонио, 10-Дек-21, 09:28 (2) //
- Простите за моё невежество, но как связаны реализация в языке и нечто криво реал, btrfs, 10-Дек-21, 09:43 (9) //
  - Есть свидетели того, которые утверждают, что если убрать риски работы с памятью,, Аноним, 10-Дек-21, 09:49 (11) //
    - Простите, но Вы звиздите Никто из них не утверждал, что прям всё само наладитс, Аноним, 10-Дек-21, 10:47 (39)
    - Там даже обратный эффект, я бы сказал - понижается vulnerability awareness, со в, Онаним, 10-Дек-21, 10:54 (43)
  - Надежда на серебрянопульность инструмента склонна отключать рассудок с весьма пе, Michael Shigorin, 10-Дек-21, 12:30 (69) //
    - Любите вы Миша обобщать, и делать выводы космического масштаба а сами все лето, ыы, 10-Дек-21, 16:40 (114)
      - Эту пулю ещё Фредерик Брукс в 1986-м обобщил , n00by, 10-Дек-21, 17:47 (123)
        
        Им читать некогде - видеокурсы же есть, Аноним, 10-Дек-21, 18:06 (124)
- Раньше надо было срывать стек, писать шелл-код на ассемблере, не ошибиться с адр, Аноним, 10-Дек-21, 13:31 (92) //
  - О дивный новый мир , ыы, 10-Дек-21, 16:42 (115)
  - Можно даже от смузи не отрываться, да, я тоже оценил , Онаним, 10-Дек-21, 16:55 (118)
  - Раньше мистеры Буггерс и Хуккерс предупреждали, что все умеют компелировать спло, n00by, 10-Дек-21, 17:13 (120)
  - А ведь скоро придет время, когда они додумаются прикрутить продвинутый искусстве, Аноним, 13-Дек-21, 22:20 (171)
ага, спасибо прямо вот только что проснулся и побежал патчить свои Apple iCloud, Аноним, 10-Дек-21, 09:30 (3)
бред какой-то даже если торчит майнкрафт голой ж в инет, ну запишите в логгер, лютый жабби__, 10-Дек-21, 09:43 (8) //
- А то что почти все банки на Java При чем там лютый legacy, Аноним, 10-Дек-21, 09:45 (10) //
  - ты неправ слышал, что у немцев можно 6-ку встретить, но в рф 8-11 уже почти вез, лютый жабби__, 10-Дек-21, 10:04 (19) //
    - Там легаси проприетарь, которая возможно уже местами просто не поддерживается, н, Онаним, 10-Дек-21, 10:43 (37)
      - в УдмуртСельхозБанке разве только , лютый жабби__, 10-Дек-21, 12:59 (77)
  - Неправда, некоторые банки ещё на COBOL, и планируют перейти на модно-молодёжную , йо, 10-Дек-21, 10:38 (34)
  - log4j2 log4jЛютое легаси - это про log4j Если притащили log4j2 , значит, сра, OramahMaalhur, 10-Дек-21, 13:30 (91)
- Написал в чате записало в логи взломПроголосовал на мониторинге с NuVotifier, BratishkaErik, 10-Дек-21, 10:29 (27) //
  - Вот и состав преступления , ыы, 10-Дек-21, 16:44 (116)
Но как же ж так Ведь жаба же ж - безопастная , пох., 10-Дек-21, 09:51 (13) //
- Ни разу не безопасная, Аноним12345, 10-Дек-21, 10:01 (18) //
  - Шо, и указатели можно , Аноним, 10-Дек-21, 10:52 (42) //
    - учитывая что любой объект в джаве - это указатель, то в джаве указатели не прост, aa, 10-Дек-21, 11:43 (56)
    - можно конечно, смотря что а ещё можно утечки памяти нагомнокодить, которые GC н, лютый жабби__, 10-Дек-21, 12:14 (66)
      - у нас индусы написали автотесты в которых была статичная мапа в который все конт, barracuda92, 10-Дек-21, 21:49 (129)
        
        дедики с 64ГБ стоят 3 тыра в месяц я б не работал в такой помойке, где раму жмо, лютый жабби__, 11-Дек-21, 11:49 (140)
    - Жаба саморефлексаная и полностью динамическая Так что, можно, в общем-то, всё , Наме, 13-Дек-21, 11:45 (167)
- Скилл написать небезопасно на каком угодно языке позволяет это преодолеть И не , Котофалк, 10-Дек-21, 10:35 (32)
- Это не Ява, это log4j , йо, 10-Дек-21, 10:41 (36) //
  - Который к сожалению в рот тащит каждый третий проект из двух , Онаним, 10-Дек-21, 10:47 (38)
- Ну возьми самый безопасный язык у тебя, как я смею предположить, основываясь на, Аноним, 10-Дек-21, 11:01 (45) //
  - Изучите тему и не пишите подобное Задача не решается в общем виде , n00by, 10-Дек-21, 17:22 (121)
Давайте все усложним, что бы потом все упростить сложными путями , d, 10-Дек-21, 10:00 (16) //
- CODE ls CODE , Michael Shigorin, 10-Дек-21, 12:37 (74)
- Есть мнение, что для отдельно взятой задачи сложность постоянна Вопрос лишь в т, Аноним, 10-Дек-21, 22:32 (133)
Это действительно катастрофаС системой можно делать все что угодноЖаба, господа,, Аноним12345, 10-Дек-21, 10:00 (17) //
- Она как бы опенсорс, господин Ну и причем тут язык и платформа, если дело в либ, Bogdan, 10-Дек-21, 18:29 (125)
Да весь код на яве такой дырявый Чтобы передать стрингу или простейший boolean , Аноним, 10-Дек-21, 10:09 (21) //
- Где вы такое последний раз видели И звучит странно Что бы пкередать стрингу , Bogdan, 10-Дек-21, 18:31 (126)
Ох, я не успел сделать новость А вообще это круто 8212 пусть люди поскорее, BratishkaErik, 10-Дек-21, 10:09 (22)
Jndi для лога это точно нужная фича которая должна быть включена у всех по умолч, Аноним, 10-Дек-21, 10:11 (24) //
- Бездумный eval а это по сути своей eval в генерируемом обычно с использованием, Онаним, 10-Дек-21, 10:57 (44) //
  - Выполнять логи - это конечно крипота та еще, но, я так понимаю, это ради произво, aa, 10-Дек-21, 11:52 (59) //
    - logger isInfoEnabled , OramahMaalhur, 10-Дек-21, 13:35 (93)
      - если всё руками делать, то можно и на С писать а тут можно просто сказать логгер, а, 11-Дек-21, 15:26 (146)
    - При необходимости передавать в логгер помимо строки раннер для нужных запросов , Аноним, 13-Дек-21, 05:21 (158)
      - Как вариант В PHP легко closure передать В жабе не в курсе, далёк от , Онаним, 14-Дек-21, 07:18 (173)
log4net в безопасности , Аноним, 10-Дек-21, 10:29 (28)
Кстати,поищите у себя в логах appdynamics Эксплуатируемо или нет - не знаю, но , пох., 10-Дек-21, 10:31 (29)
У меня вчера stream play на стиме сам без особой причины запустился И начал дви, Аноним, 10-Дек-21, 10:31 (30)
Блин Мои хелловорлды юзают log4j2 Ждем фиксов , DEF, 10-Дек-21, 10:35 (31)
Макаки конечно везде одинаковые, да Это ж надо такую срань в систему логгирова, Онаним, 10-Дек-21, 10:40 (35)
По непроверенным данным дыра проявляется в госуслугах и вёбинтерфейсах кучи круп, Аноним, 10-Дек-21, 10:49 (40) //
- appdynamics, да Страховые из первой десятки туда же так ты американские проверя, пох., 10-Дек-21, 11:15 (47) //
  - А потом пожизненно прячься от выдачи в родных говеньях, Аноня, 11-Дек-21, 12:34 (142)
- Сбеги в Бриташку и оттуда проверяй , Аноня, 11-Дек-21, 12:28 (141)
- Даже в Amazon S3 проявляется, Аноним, 13-Дек-21, 05:05 (157)
Типа безопасные языки Надо было писать на Rust , Аноним, 10-Дек-21, 10:51 (41) //
- как, в нем нет eval Нельзя загрузить в процесс какой-нибудь неожиданный код из, пох., 10-Дек-21, 11:16 (49) //
  - eval нет, а используемые большинством библиотеки для логгирования в ldap не стуч, morphe, 10-Дек-21, 13:16 (82) //
    - тысячигласс проверял, зуб дает А то большинство из нас полагаю о такой нужной и, пох., 10-Дек-21, 13:21 (87)
      - А в Rust даже нет смысла подобное делатьЗачем в жаве чтение из ldap пихнули в ст, morphe, 10-Дек-21, 14:41 (99)
        
        весь прикол в том что оно вовсе не userid получало Оно получало КОД который ис, пох., 10-Дек-21, 15:09 (101)
        
        Я привёл пример того, как эту фичу задумывалось использовать, эксплуатация выгля , morphe, 12-Дек-21, 22:11 (155)
        
        Так и на яве можно сделать то же самое И вообще как уже сказали суть уязвимости, Аноним, 10-Дек-21, 15:29 (108)
      - Нефига не правильно В ответ на JNDI-запрос исполняющий код не должен грузить кл, Наме, 13-Дек-21, 11:10 (164)
- Ага, язык, на котором ты напишешь систему управления атомным реактором, должен б, Аноним, 10-Дек-21, 11:26 (50) //
  - Конечно, язык Сейчас так модно разрабатывать - ядерные реакторы, ракеты особен, пох., 10-Дек-21, 13:30 (90) //
    - Пох, как всегда, передергиваешь Язык не должен знать в какой последовательности, Аноним, 10-Дек-21, 15:12 (103)
      - да-да, во всем виноват, помнити его - автор leftpad Взял и сломал нам весь инте, пох., 10-Дек-21, 15:16 (105)
        
        Да тут не в языке дело Тут чтобы палку-копалку выстругать - изобрели бензопилу, , Онаним, 11-Дек-21, 19:42 (149)
        Это где-то около надувания щёк - посмотрите, как мы можем Не зря же есть хорошая, Онаним, 11-Дек-21, 19:42 (150)
    - да ладно это фон Браун с камрадами изобретали с нуля потом они в качестве трофе, john_erohin, 11-Дек-21, 13:10 (143)
      - ну так камрады и изобретали Тов Королев и другие ответственные товарищи - руков, пох., 11-Дек-21, 13:32 (144)
    - будет врать-то союз на старте взрывался протон на старте взрывался раз пять, не, Михрютка, 12-Дек-21, 00:24 (151)
      - Приплетаю тот самый Линдукс Тоже ведь торопились к праздничку Интересно, где о, n00by, 12-Дек-21, 12:38 (153)
      - А Маску - похрен, у него еще есть Бесконечные же ж был бы он предсказуем - п, пох., 13-Дек-21, 08:35 (160)
        
        вы что, знакомы с вопросом исключительно по пересказам товарища рабиновича успет, Михрютка, 13-Дек-21, 16:51 (168)
        
        Я знаком по пересказам людей, работавших в отрасли А вот у тебя очень похоже на , пох., 13-Дек-21, 17:39 (170)
        
        а я, дяденька, просто кратко вам пересказал доклад близко не бывавших рабино Wчл, Михрютка, 14-Дек-21, 01:19 (172)
  - Успагойся, то был просто растотроллинг , Аноним, 10-Дек-21, 15:10 (102) //
    - Ну неприятно испытывать испанский стыд из-за таких петросянов Типа шутка-тролли, Аноним, 10-Дек-21, 15:17 (107)
Это не уязвимость Это - бэкдор, подобную функциональность включать в логах , Аноним, 10-Дек-21, 11:16 (48) //
- Это не уязвимость, и не бэкдор Это макакинг А чо Эвал прямо в логе - круто же, Онаним, 10-Дек-21, 11:36 (52)
- Фреймворк для ведения логов - это звучит крутенько , Онаним, 10-Дек-21, 11:50 (58)
глобально и надёжно, mos87, 10-Дек-21, 12:06 (61) //
- Надежно можно получать неофициальную информацию от кого угодно Да там таких уяз, Аноним, 10-Дек-21, 12:13 (64) //
  - Вспомнилось https www opennet ru openforum vsluhforumID3 125836 html 85 наде, Michael Shigorin, 10-Дек-21, 13:04 (78)
- Энтерпрайзно Logs-as-a-code , Онаним, 10-Дек-21, 16:58 (119)
А вот если бы писали на Хаскеле , Аноним, 10-Дек-21, 12:11 (63) //
- да с таким же упованием на дело рук человеческих токмо , Michael Shigorin, 10-Дек-21, 13:05 (79)
Говоря откровенно, Log4j уже лет 10 как не рекомендуется использовать Есть SLF4, Аноним, 10-Дек-21, 12:14 (65) //
- У нас в рекомендациях от архитектуры всё ровно наоброт, мол slf4j и logback уже , Аноним, 10-Дек-21, 12:25 (67) //
  - Если пользоваться Spring, то logback официально рекомендуемый , Аноним, 10-Дек-21, 12:45 (75) //
    - А не надо спрингом пользоваться , Наме, 13-Дек-21, 11:15 (166)
  - он log4j 1х, это да, 10 лет из танка не вылезал, ELF, 10-Дек-21, 13:25 (88) //
    - ты уверен что во второй версии нет той же самой фичи Не может быть Должны были, пох., 10-Дек-21, 15:16 (106)
      - речь как раз про вторую версию - рекомендуемую с дебильной фичей , а первую не , ELF, 10-Дек-21, 16:38 (113)
        
        а, ну вот, теперь мир снова перевернут в нормальное положение В первой может и п, пох., 11-Дек-21, 13:36 (145)
  - Есть JUL и его хватает для всего , Наме, 13-Дек-21, 11:15 (165)
- Много где slf4j стоит с log4j бекендом, из-за того что много существующих либ ра, morphe, 10-Дек-21, 13:21 (86)
- Slf4j - по сути фасад, который можно навесить над разными логерами, в т ч log4j, Ololo, 10-Дек-21, 16:23 (111)
- Глупость, куда твой slf4j логирует Это интерфейс , hohoho, 10-Дек-21, 21:55 (131) //
  - в logback, как выше написано, Аноним, 11-Дек-21, 09:42 (139)
там чтобы уязвимость работали макака должна пользовательскую строку не как парам, Аноним, 10-Дек-21, 12:34 (70) //
- Неа, оно раскрывается уже после подстановки параметров в строку форматированияТ , morphe, 10-Дек-21, 13:18 (83)
Самое время задействовать умение настройки firewall Блокируем исходящие соединен, Аноним, 10-Дек-21, 12:36 (72) //
- ой, вендовая сеть легла Кнутователь уже бежит в твою сторону Не, я не советую в, пох., 10-Дек-21, 13:11 (81)
- В url можно свой порт передать, никто не заставляет сервер с ldap держать не на , morphe, 10-Дек-21, 13:19 (85) //
  - ffuck и что, эта тварь туда и полезет я почти уверен что таки да, к к к код, пох., 10-Дек-21, 15:13 (104)
Причём тут java впринципе Мамкины кодеры любят использовать тонны third-party ф, Аноним, 10-Дек-21, 13:06 (80) //
- молодец, профессионала за версту видно, ELF, 10-Дек-21, 13:28 (89)
- А вы таки переизобретаете логгер для критически уязвимой инфраструктуры каждого , OramahMaalhur, 10-Дек-21, 14:11 (96) //
  - Не надо переизобретать логгер Достаточно один раз его написать, и каждый хеллоув, Онаним, 10-Дек-21, 21:04 (127)
- Абсолютно да Third party только по абсолютной необходимости, всегда хотя бы с, Онаним, 10-Дек-21, 21:05 (128)
Вполне ожидаемо от апача и жавы , Аноним, 10-Дек-21, 13:41 (94)
У бизнеса лог4ж-1 2 массово все эти новые технологии в бизнес не придут еще , IdeaFix, 10-Дек-21, 16:12 (109)
Зато Eclipse после установки лагина приходится перезапускать , n00by, 10-Дек-21, 17:41 (122)
В статье не упоминается что уязвимость в PatternLayout Если вы используете друг, hohoho, 10-Дек-21, 21:59 (132)
Вспоминается та недавняя уявзимость в imagemagick Тоже ходило в интернет куда с, Аноним, 10-Дек-21, 22:46 (134) //
- По хорошему такого поведения без лишних телодвижений быть не должно и предупрежд, Аноним, 11-Дек-21, 03:33 (136)
На жабе не пишу, но недавно приходилось прикручивать кое-какие поделки через JNI, Аноним, 10-Дек-21, 23:07 (135) //
- Не читай ту глупую мурзилку больше Жабу ждет судьба кобола возведенного в фактор, пох., 11-Дек-21, 09:04 (138) //
  - Вот уж действительно все плохо там у вас Не, снова учить всякую каку это уж слиш, Аноним, 13-Дек-21, 03:14 (156)
- Программистам на Коболе так и не стали платить заоблачные зарплаты, Аноним, 11-Дек-21, 16:06 (147) //
  - В России Конечно не платят, откуда в ней софт на Коблое В США к примеру - пл, _, 12-Дек-21, 03:45 (152) //
    - будут эмулировать Квалификация исчезает быстрее мэйнфреймов, поэтому переписать, пох., 13-Дек-21, 08:28 (159)
    - Облака медленные и данные из мэнфрейма перенести это как на луну в очередной раз, Наме, 13-Дек-21, 10:32 (163)
Весь мир в труху, абсурд, коррупцию, хаос и скайнеты PS Java - и пусть весь м, InuYasha, 11-Дек-21, 17:12 (148)
катастрофическая, spanjokus, 12-Дек-21, 17:13 (154)
log4j всегда был индуским шлаком Надо быть без башки, чтобы его использовать в , Наме, 13-Дек-21, 10:24 (161)
А файрвол не JNDI-запросы наружу это как-то вызывает вопросы, мягко скажем , Наме, 13-Дек-21, 10:30 (162)
В теории, если в java security настроено разрешение загрузки классов только из р, shricke, 13-Дек-21, 17:37 (169)
А все потому, что не на растишке написан , szt1980, 17-Дек-21, 00:02 (174)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру