forum.opennet.ru

"Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для контроля за появлением новых сообщений - перед выходом жмите "Пометить прочитанным".

. "Катастрофическая уязвимость в Apache Log4j, затрагивающая мн..."	+/–
Сообщение от Михрютка (ok), 13-Дек-21, 16:51
вы что, знакомы с вопросом исключительно по пересказам товарища рабиновича? >>>Успеть к празднику означало работу круглые сутки без сна и выходных, а не что-то другое. успеть к празднику - означало "забьем на все существующие регламенты и требования безопасности, потому что иначе в гарантированные КБ 24 часа на старте в заправленном виде - ракету запустить невозможно, ее придется снимать со старта и готовить к пуску второй экземпляр, т.е. отложить пуск еще минимум на месяц" >>>Варианты "давайте половину тестов не проводить, все равно нафиг не нужны" - это последних лет вариант "испытания полностью не проходит, но мы все равно выкатим на старт" устроит? вариант "вообще никаких испытаний операции не было, но мы все равно выкатим на старт" устроит? это именно то, что произошло.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты, opennews, 10-Дек-21, 09:23 [смотреть все]

171 катастрофическая 187 , лол, Аноним, 10-Дек-21, 09:23 (1) //
- Ну учитывая где используется Java и как там дела с обновлениями, то действительн, Аноним, 10-Дек-21, 09:30 (4)
- Не так давно пол-США сидели без бензина и мяса когда ломанули оператора трубопро, Аноним, 10-Дек-21, 10:06 (20)
- Для того чтобы понять почему катастрофическая запусти у себя netcat на порту 389, Аноним, 10-Дек-21, 11:10 (46) //
  - Главное чтобы маски-шоу из категории разного в дверь и окна не полезли , Онаним, 10-Дек-21, 11:39 (54)
  - Поэтому лучше IP конечно не свой , Онаним, 10-Дек-21, 11:40 (55) //
    - И с чужого банковского счёта перевод делать, ага, Аноним, 10-Дек-21, 13:19 (84)
  - В банках доступ в интернет, да даже в соседний vlan закрыт Так что ищите где-то, Аноним, 10-Дек-21, 11:53 (60) //
    - И как вы online-банком если всё закрыто пользуйтесь Только не говорите, что там, Аноним, 10-Дек-21, 12:28 (68)
      - Да нет, дол-еов тыщи же ж Вспоминая один из самых круто-обинтернетившихся в перв, пох., 11-Дек-21, 08:54 (137)
        
        Чё за поток сознания лол, иди таблеточки пропей, Аноним, 27-Дек-21, 02:13 (175)
Переполнение буфера, говорили они Безопасность, говорили они Позор и срамота , Антонио, 10-Дек-21, 09:28 (2) //
- Простите за моё невежество, но как связаны реализация в языке и нечто криво реал, btrfs, 10-Дек-21, 09:43 (9) //
  - Есть свидетели того, которые утверждают, что если убрать риски работы с памятью,, Аноним, 10-Дек-21, 09:49 (11) //
    - Простите, но Вы звиздите Никто из них не утверждал, что прям всё само наладитс, Аноним, 10-Дек-21, 10:47 (39)
    - Там даже обратный эффект, я бы сказал - понижается vulnerability awareness, со в, Онаним, 10-Дек-21, 10:54 (43)
  - Надежда на серебрянопульность инструмента склонна отключать рассудок с весьма пе, Michael Shigorin, 10-Дек-21, 12:30 (69) //
    - Любите вы Миша обобщать, и делать выводы космического масштаба а сами все лето, ыы, 10-Дек-21, 16:40 (114)
      - Эту пулю ещё Фредерик Брукс в 1986-м обобщил , n00by, 10-Дек-21, 17:47 (123)
        
        Им читать некогде - видеокурсы же есть, Аноним, 10-Дек-21, 18:06 (124)
- Раньше надо было срывать стек, писать шелл-код на ассемблере, не ошибиться с адр, Аноним, 10-Дек-21, 13:31 (92) //
  - О дивный новый мир , ыы, 10-Дек-21, 16:42 (115)
  - Можно даже от смузи не отрываться, да, я тоже оценил , Онаним, 10-Дек-21, 16:55 (118)
  - Раньше мистеры Буггерс и Хуккерс предупреждали, что все умеют компелировать спло, n00by, 10-Дек-21, 17:13 (120)
  - А ведь скоро придет время, когда они додумаются прикрутить продвинутый искусстве, Аноним, 13-Дек-21, 22:20 (171)
ага, спасибо прямо вот только что проснулся и побежал патчить свои Apple iCloud, Аноним, 10-Дек-21, 09:30 (3)
бред какой-то даже если торчит майнкрафт голой ж в инет, ну запишите в логгер, лютый жабби__, 10-Дек-21, 09:43 (8) //
- А то что почти все банки на Java При чем там лютый legacy, Аноним, 10-Дек-21, 09:45 (10) //
  - ты неправ слышал, что у немцев можно 6-ку встретить, но в рф 8-11 уже почти вез, лютый жабби__, 10-Дек-21, 10:04 (19) //
    - Там легаси проприетарь, которая возможно уже местами просто не поддерживается, н, Онаним, 10-Дек-21, 10:43 (37)
      - в УдмуртСельхозБанке разве только , лютый жабби__, 10-Дек-21, 12:59 (77)
  - Неправда, некоторые банки ещё на COBOL, и планируют перейти на модно-молодёжную , йо, 10-Дек-21, 10:38 (34)
  - log4j2 log4jЛютое легаси - это про log4j Если притащили log4j2 , значит, сра, OramahMaalhur, 10-Дек-21, 13:30 (91)
- Написал в чате записало в логи взломПроголосовал на мониторинге с NuVotifier, BratishkaErik, 10-Дек-21, 10:29 (27) //
  - Вот и состав преступления , ыы, 10-Дек-21, 16:44 (116)
Но как же ж так Ведь жаба же ж - безопастная , пох., 10-Дек-21, 09:51 (13) //
- Ни разу не безопасная, Аноним12345, 10-Дек-21, 10:01 (18) //
  - Шо, и указатели можно , Аноним, 10-Дек-21, 10:52 (42) //
    - учитывая что любой объект в джаве - это указатель, то в джаве указатели не прост, aa, 10-Дек-21, 11:43 (56)
    - можно конечно, смотря что а ещё можно утечки памяти нагомнокодить, которые GC н, лютый жабби__, 10-Дек-21, 12:14 (66)
      - у нас индусы написали автотесты в которых была статичная мапа в который все конт, barracuda92, 10-Дек-21, 21:49 (129)
        
        дедики с 64ГБ стоят 3 тыра в месяц я б не работал в такой помойке, где раму жмо, лютый жабби__, 11-Дек-21, 11:49 (140)
    - Жаба саморефлексаная и полностью динамическая Так что, можно, в общем-то, всё , Наме, 13-Дек-21, 11:45 (167)
- Скилл написать небезопасно на каком угодно языке позволяет это преодолеть И не , Котофалк, 10-Дек-21, 10:35 (32)
- Это не Ява, это log4j , йо, 10-Дек-21, 10:41 (36) //
  - Который к сожалению в рот тащит каждый третий проект из двух , Онаним, 10-Дек-21, 10:47 (38)
- Ну возьми самый безопасный язык у тебя, как я смею предположить, основываясь на, Аноним, 10-Дек-21, 11:01 (45) //
  - Изучите тему и не пишите подобное Задача не решается в общем виде , n00by, 10-Дек-21, 17:22 (121)
Давайте все усложним, что бы потом все упростить сложными путями , d, 10-Дек-21, 10:00 (16) //
- CODE ls CODE , Michael Shigorin, 10-Дек-21, 12:37 (74)
- Есть мнение, что для отдельно взятой задачи сложность постоянна Вопрос лишь в т, Аноним, 10-Дек-21, 22:32 (133)
Это действительно катастрофаС системой можно делать все что угодноЖаба, господа,, Аноним12345, 10-Дек-21, 10:00 (17) //
- Она как бы опенсорс, господин Ну и причем тут язык и платформа, если дело в либ, Bogdan, 10-Дек-21, 18:29 (125)
Да весь код на яве такой дырявый Чтобы передать стрингу или простейший boolean , Аноним, 10-Дек-21, 10:09 (21) //
- Где вы такое последний раз видели И звучит странно Что бы пкередать стрингу , Bogdan, 10-Дек-21, 18:31 (126)
Ох, я не успел сделать новость А вообще это круто 8212 пусть люди поскорее, BratishkaErik, 10-Дек-21, 10:09 (22)
Jndi для лога это точно нужная фича которая должна быть включена у всех по умолч, Аноним, 10-Дек-21, 10:11 (24) //
- Бездумный eval а это по сути своей eval в генерируемом обычно с использованием, Онаним, 10-Дек-21, 10:57 (44) //
  - Выполнять логи - это конечно крипота та еще, но, я так понимаю, это ради произво, aa, 10-Дек-21, 11:52 (59) //
    - logger isInfoEnabled , OramahMaalhur, 10-Дек-21, 13:35 (93)
      - если всё руками делать, то можно и на С писать а тут можно просто сказать логгер, а, 11-Дек-21, 15:26 (146)
    - При необходимости передавать в логгер помимо строки раннер для нужных запросов , Аноним, 13-Дек-21, 05:21 (158)
      - Как вариант В PHP легко closure передать В жабе не в курсе, далёк от , Онаним, 14-Дек-21, 07:18 (173)
log4net в безопасности , Аноним, 10-Дек-21, 10:29 (28)
Кстати,поищите у себя в логах appdynamics Эксплуатируемо или нет - не знаю, но , пох., 10-Дек-21, 10:31 (29)
У меня вчера stream play на стиме сам без особой причины запустился И начал дви, Аноним, 10-Дек-21, 10:31 (30)
Блин Мои хелловорлды юзают log4j2 Ждем фиксов , DEF, 10-Дек-21, 10:35 (31)
Макаки конечно везде одинаковые, да Это ж надо такую срань в систему логгирова, Онаним, 10-Дек-21, 10:40 (35)
По непроверенным данным дыра проявляется в госуслугах и вёбинтерфейсах кучи круп, Аноним, 10-Дек-21, 10:49 (40) //
- appdynamics, да Страховые из первой десятки туда же так ты американские проверя, пох., 10-Дек-21, 11:15 (47) //
  - А потом пожизненно прячься от выдачи в родных говеньях, Аноня, 11-Дек-21, 12:34 (142)
- Сбеги в Бриташку и оттуда проверяй , Аноня, 11-Дек-21, 12:28 (141)
- Даже в Amazon S3 проявляется, Аноним, 13-Дек-21, 05:05 (157)
Типа безопасные языки Надо было писать на Rust , Аноним, 10-Дек-21, 10:51 (41) //
- как, в нем нет eval Нельзя загрузить в процесс какой-нибудь неожиданный код из, пох., 10-Дек-21, 11:16 (49) //
  - eval нет, а используемые большинством библиотеки для логгирования в ldap не стуч, morphe, 10-Дек-21, 13:16 (82) //
    - тысячигласс проверял, зуб дает А то большинство из нас полагаю о такой нужной и, пох., 10-Дек-21, 13:21 (87)
      - А в Rust даже нет смысла подобное делатьЗачем в жаве чтение из ldap пихнули в ст, morphe, 10-Дек-21, 14:41 (99)
        
        весь прикол в том что оно вовсе не userid получало Оно получало КОД который ис, пох., 10-Дек-21, 15:09 (101)
        
        Я привёл пример того, как эту фичу задумывалось использовать, эксплуатация выгля, morphe, 12-Дек-21, 22:11 (155)
        
        Так и на яве можно сделать то же самое И вообще как уже сказали суть уязвимости, Аноним, 10-Дек-21, 15:29 (108)
      - Нефига не правильно В ответ на JNDI-запрос исполняющий код не должен грузить кл, Наме, 13-Дек-21, 11:10 (164)
- Ага, язык, на котором ты напишешь систему управления атомным реактором, должен б, Аноним, 10-Дек-21, 11:26 (50) //
  - Конечно, язык Сейчас так модно разрабатывать - ядерные реакторы, ракеты особен, пох., 10-Дек-21, 13:30 (90) //
    - Пох, как всегда, передергиваешь Язык не должен знать в какой последовательности, Аноним, 10-Дек-21, 15:12 (103)
      - да-да, во всем виноват, помнити его - автор leftpad Взял и сломал нам весь инте, пох., 10-Дек-21, 15:16 (105)
        
        Да тут не в языке дело Тут чтобы палку-копалку выстругать - изобрели бензопилу, , Онаним, 11-Дек-21, 19:42 (149)
        Это где-то около надувания щёк - посмотрите, как мы можем Не зря же есть хорошая, Онаним, 11-Дек-21, 19:42 (150)
    - да ладно это фон Браун с камрадами изобретали с нуля потом они в качестве трофе, john_erohin, 11-Дек-21, 13:10 (143)
      - ну так камрады и изобретали Тов Королев и другие ответственные товарищи - руков, пох., 11-Дек-21, 13:32 (144)
    - будет врать-то союз на старте взрывался протон на старте взрывался раз пять, не, Михрютка, 12-Дек-21, 00:24 (151)
      - Приплетаю тот самый Линдукс Тоже ведь торопились к праздничку Интересно, где о, n00by, 12-Дек-21, 12:38 (153)
      - А Маску - похрен, у него еще есть Бесконечные же ж был бы он предсказуем - п, пох., 13-Дек-21, 08:35 (160)
        
        вы что, знакомы с вопросом исключительно по пересказам товарища рабиновича успет , Михрютка, 13-Дек-21, 16:51 (168)
        
        Я знаком по пересказам людей, работавших в отрасли А вот у тебя очень похоже на , пох., 13-Дек-21, 17:39 (170)
        
        а я, дяденька, просто кратко вам пересказал доклад близко не бывавших рабино Wчл, Михрютка, 14-Дек-21, 01:19 (172)
  - Успагойся, то был просто растотроллинг , Аноним, 10-Дек-21, 15:10 (102) //
    - Ну неприятно испытывать испанский стыд из-за таких петросянов Типа шутка-тролли, Аноним, 10-Дек-21, 15:17 (107)
Это не уязвимость Это - бэкдор, подобную функциональность включать в логах , Аноним, 10-Дек-21, 11:16 (48) //
- Это не уязвимость, и не бэкдор Это макакинг А чо Эвал прямо в логе - круто же, Онаним, 10-Дек-21, 11:36 (52)
- Фреймворк для ведения логов - это звучит крутенько , Онаним, 10-Дек-21, 11:50 (58)
глобально и надёжно, mos87, 10-Дек-21, 12:06 (61) //
- Надежно можно получать неофициальную информацию от кого угодно Да там таких уяз, Аноним, 10-Дек-21, 12:13 (64) //
  - Вспомнилось https www opennet ru openforum vsluhforumID3 125836 html 85 наде, Michael Shigorin, 10-Дек-21, 13:04 (78)
- Энтерпрайзно Logs-as-a-code , Онаним, 10-Дек-21, 16:58 (119)
А вот если бы писали на Хаскеле , Аноним, 10-Дек-21, 12:11 (63) //
- да с таким же упованием на дело рук человеческих токмо , Michael Shigorin, 10-Дек-21, 13:05 (79)
Говоря откровенно, Log4j уже лет 10 как не рекомендуется использовать Есть SLF4, Аноним, 10-Дек-21, 12:14 (65) //
- У нас в рекомендациях от архитектуры всё ровно наоброт, мол slf4j и logback уже , Аноним, 10-Дек-21, 12:25 (67) //
  - Если пользоваться Spring, то logback официально рекомендуемый , Аноним, 10-Дек-21, 12:45 (75) //
    - А не надо спрингом пользоваться , Наме, 13-Дек-21, 11:15 (166)
  - он log4j 1х, это да, 10 лет из танка не вылезал, ELF, 10-Дек-21, 13:25 (88) //
    - ты уверен что во второй версии нет той же самой фичи Не может быть Должны были, пох., 10-Дек-21, 15:16 (106)
      - речь как раз про вторую версию - рекомендуемую с дебильной фичей , а первую не , ELF, 10-Дек-21, 16:38 (113)
        
        а, ну вот, теперь мир снова перевернут в нормальное положение В первой может и п, пох., 11-Дек-21, 13:36 (145)
  - Есть JUL и его хватает для всего , Наме, 13-Дек-21, 11:15 (165)
- Много где slf4j стоит с log4j бекендом, из-за того что много существующих либ ра, morphe, 10-Дек-21, 13:21 (86)
- Slf4j - по сути фасад, который можно навесить над разными логерами, в т ч log4j, Ololo, 10-Дек-21, 16:23 (111)
- Глупость, куда твой slf4j логирует Это интерфейс , hohoho, 10-Дек-21, 21:55 (131) //
  - в logback, как выше написано, Аноним, 11-Дек-21, 09:42 (139)
там чтобы уязвимость работали макака должна пользовательскую строку не как парам, Аноним, 10-Дек-21, 12:34 (70) //
- Неа, оно раскрывается уже после подстановки параметров в строку форматированияТ , morphe, 10-Дек-21, 13:18 (83)
Самое время задействовать умение настройки firewall Блокируем исходящие соединен, Аноним, 10-Дек-21, 12:36 (72) //
- ой, вендовая сеть легла Кнутователь уже бежит в твою сторону Не, я не советую в, пох., 10-Дек-21, 13:11 (81)
- В url можно свой порт передать, никто не заставляет сервер с ldap держать не на , morphe, 10-Дек-21, 13:19 (85) //
  - ffuck и что, эта тварь туда и полезет я почти уверен что таки да, к к к код, пох., 10-Дек-21, 15:13 (104)
Причём тут java впринципе Мамкины кодеры любят использовать тонны third-party ф, Аноним, 10-Дек-21, 13:06 (80) //
- молодец, профессионала за версту видно, ELF, 10-Дек-21, 13:28 (89)
- А вы таки переизобретаете логгер для критически уязвимой инфраструктуры каждого , OramahMaalhur, 10-Дек-21, 14:11 (96) //
  - Не надо переизобретать логгер Достаточно один раз его написать, и каждый хеллоув, Онаним, 10-Дек-21, 21:04 (127)
- Абсолютно да Third party только по абсолютной необходимости, всегда хотя бы с, Онаним, 10-Дек-21, 21:05 (128)
Вполне ожидаемо от апача и жавы , Аноним, 10-Дек-21, 13:41 (94)
У бизнеса лог4ж-1 2 массово все эти новые технологии в бизнес не придут еще , IdeaFix, 10-Дек-21, 16:12 (109)
Зато Eclipse после установки лагина приходится перезапускать , n00by, 10-Дек-21, 17:41 (122)
В статье не упоминается что уязвимость в PatternLayout Если вы используете друг, hohoho, 10-Дек-21, 21:59 (132)
Вспоминается та недавняя уявзимость в imagemagick Тоже ходило в интернет куда с, Аноним, 10-Дек-21, 22:46 (134) //
- По хорошему такого поведения без лишних телодвижений быть не должно и предупрежд, Аноним, 11-Дек-21, 03:33 (136)
На жабе не пишу, но недавно приходилось прикручивать кое-какие поделки через JNI, Аноним, 10-Дек-21, 23:07 (135) //
- Не читай ту глупую мурзилку больше Жабу ждет судьба кобола возведенного в фактор, пох., 11-Дек-21, 09:04 (138) //
  - Вот уж действительно все плохо там у вас Не, снова учить всякую каку это уж слиш, Аноним, 13-Дек-21, 03:14 (156)
- Программистам на Коболе так и не стали платить заоблачные зарплаты, Аноним, 11-Дек-21, 16:06 (147) //
  - В России Конечно не платят, откуда в ней софт на Коблое В США к примеру - пл, _, 12-Дек-21, 03:45 (152) //
    - будут эмулировать Квалификация исчезает быстрее мэйнфреймов, поэтому переписать, пох., 13-Дек-21, 08:28 (159)
    - Облака медленные и данные из мэнфрейма перенести это как на луну в очередной раз, Наме, 13-Дек-21, 10:32 (163)
Весь мир в труху, абсурд, коррупцию, хаос и скайнеты PS Java - и пусть весь м, InuYasha, 11-Дек-21, 17:12 (148)
катастрофическая, spanjokus, 12-Дек-21, 17:13 (154)
log4j всегда был индуским шлаком Надо быть без башки, чтобы его использовать в , Наме, 13-Дек-21, 10:24 (161)
А файрвол не JNDI-запросы наружу это как-то вызывает вопросы, мягко скажем , Наме, 13-Дек-21, 10:30 (162)
В теории, если в java security настроено разрешение загрузки классов только из р, shricke, 13-Дек-21, 17:37 (169)
А все потому, что не на растишке написан , szt1980, 17-Дек-21, 00:02 (174)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру