Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты,
opennews (??), 10-Дек-21, (0) [смотреть все]
- 171 катастрофическая 187 , лол,
Аноним (1), 09:23 , 10-Дек-21, (1) –11 //
- Ну учитывая где используется Java и как там дела с обновлениями, то действительн,
Аноним (4), 09:30 , 10-Дек-21, (4) +28
- Не так давно пол-США сидели без бензина и мяса когда ломанули оператора трубопро,
Аноним (20), 10:06 , 10-Дек-21, (20) +6
- Для того чтобы понять почему катастрофическая запусти у себя netcat на порту 389,
Аноним (-), 11:10 , 10-Дек-21, (46) +1 //
- Главное чтобы маски-шоу из категории разного в дверь и окна не полезли ,
Онаним (?), 11:39 , 10-Дек-21, (54) +8
- Поэтому лучше IP конечно не свой ,
Онаним (?), 11:40 , 10-Дек-21, (55) //
- В банках доступ в интернет, да даже в соседний vlan закрыт Так что ищите где-то,
Аноним (60), 11:53 , 10-Дек-21, (60) //
- Переполнение буфера, говорили они Безопасность, говорили они Позор и срамота ,
Антонио (??), 09:28 , 10-Дек-21, (2) +13 //
- Простите за моё невежество, но как связаны реализация в языке и нечто криво реал,
btrfs (?), 09:43 , 10-Дек-21, (9) +6 //
- Есть свидетели того, которые утверждают, что если убрать риски работы с памятью,,
Аноним (11), 09:49 , 10-Дек-21, (11) +30 //
- Простите, но Вы звиздите Никто из них не утверждал, что прям всё само наладитс,
Аноним (39), 10:47 , 10-Дек-21, (39)
- Там даже обратный эффект, я бы сказал - понижается vulnerability awareness, со в,
Онаним (?), 10:54 , 10-Дек-21, (43) +5
- Надежда на серебрянопульность инструмента склонна отключать рассудок с весьма пе,
Michael Shigorin (ok), 12:30 , 10-Дек-21, (69) –3 //
- Раньше надо было срывать стек, писать шелл-код на ассемблере, не ошибиться с адр,
Аноним (84), 13:31 , 10-Дек-21, (92) +10 //
- О дивный новый мир ,
ыы (?), 16:42 , 10-Дек-21, (115)
- Можно даже от смузи не отрываться, да, я тоже оценил ,
Онаним (?), 16:55 , 10-Дек-21, (118) +2
- Раньше мистеры Буггерс и Хуккерс предупреждали, что все умеют компелировать спло,
n00by (ok), 17:13 , 10-Дек-21, (120)
- А ведь скоро придет время, когда они додумаются прикрутить продвинутый искусстве,
Аноним (171), 22:20 , 13-Дек-21, (171)
- ага, спасибо прямо вот только что проснулся и побежал патчить свои Apple iCloud,
Аноним (3), 09:30 , 10-Дек-21, (3) –6
- бред какой-то даже если торчит майнкрафт голой ж в инет, ну запишите в логгер,
лютый жабби__ (?), 09:43 , 10-Дек-21, (8) –3 //
- А то что почти все банки на Java При чем там лютый legacy,
Аноним (4), 09:45 , 10-Дек-21, (10) //
- ты неправ слышал, что у немцев можно 6-ку встретить, но в рф 8-11 уже почти вез,
лютый жабби__ (?), 10:04 , 10-Дек-21, (19) //
- Неправда, некоторые банки ещё на COBOL, и планируют перейти на модно-молодёжную ,
йо (?), 10:38 , 10-Дек-21, (34) +2
- log4j2 log4jЛютое легаси - это про log4j Если притащили log4j2 , значит, сра,
OramahMaalhur (ok), 13:30 , 10-Дек-21, (91) +2
- Написал в чате записало в логи взломПроголосовал на мониторинге с NuVotifier,
BratishkaErik (ok), 10:29 , 10-Дек-21, (27) +4 //
- Но как же ж так Ведь жаба же ж - безопастная ,
пох. (?), 09:51 , 10-Дек-21, (13) //
- Ни разу не безопасная,
Аноним12345 (?), 10:01 , 10-Дек-21, (18) +1 //
- Шо, и указатели можно ,
Аноним (42), 10:52 , 10-Дек-21, (42)
//
- учитывая что любой объект в джаве - это указатель, то в джаве указатели не прост,
aa (?), 11:43 , 10-Дек-21, (56) +3
- можно конечно, смотря что а ещё можно утечки памяти нагомнокодить, которые GC н,
лютый жабби__ (?), 12:14 , 10-Дек-21, (66) +2
- Жаба саморефлексаная и полностью динамическая Так что, можно, в общем-то, всё ,
Наме (?), 11:45 , 13-Дек-21, (167)
- Скилл написать небезопасно на каком угодно языке позволяет это преодолеть И не ,
Котофалк (?), 10:35 , 10-Дек-21, (32) +1
- Это не Ява, это log4j ,
йо (?), 10:41 , 10-Дек-21, (36) +3 //
- Ну возьми самый безопасный язык у тебя, как я смею предположить, основываясь на,
Аноним (39), 11:01 , 10-Дек-21, (45) +1 //
- Давайте все усложним, что бы потом все упростить сложными путями ,
d (??), 10:00 , 10-Дек-21, (16) +3 //
- Это действительно катастрофаС системой можно делать все что угодноЖаба, господа,,
Аноним12345 (?), 10:00 , 10-Дек-21, (17) +1 //
- Да весь код на яве такой дырявый Чтобы передать стрингу или простейший boolean ,
Аноним (21), 10:09 , 10-Дек-21, (21) –1 //
- Ох, я не успел сделать новость А вообще это круто 8212 пусть люди поскорее,
BratishkaErik (ok), 10:09 , 10-Дек-21, (22) +2
- Jndi для лога это точно нужная фича которая должна быть включена у всех по умолч,
Аноним (24), 10:11 , 10-Дек-21, (24) +4 //
- log4net в безопасности ,
Аноним (28), 10:29 , 10-Дек-21, (28) –1
- Кстати,поищите у себя в логах appdynamics Эксплуатируемо или нет - не знаю, но ,
пох. (?), 10:31 , 10-Дек-21, (29) +2
- У меня вчера stream play на стиме сам без особой причины запустился И начал дви,
Аноним (30), 10:31 , 10-Дек-21, (30)
- Блин Мои хелловорлды юзают log4j2 Ждем фиксов ,
DEF (?), 10:35 , 10-Дек-21, (31)
- Макаки конечно везде одинаковые, да Это ж надо такую срань в систему логгирова,
Онаним (?), 10:40 , 10-Дек-21, (35) +4
- По непроверенным данным дыра проявляется в госуслугах и вёбинтерфейсах кучи круп,
Аноним (-), 10:49 , 10-Дек-21, (40) //
- appdynamics, да Страховые из первой десятки туда же так ты американские проверя,
пох. (?), 11:15 , 10-Дек-21, (47) +2 //
- Сбеги в Бриташку и оттуда проверяй ,
Аноня (?), 12:28 , 11-Дек-21, (141)
- Даже в Amazon S3 проявляется,
Аноним (158), 05:05 , 13-Дек-21, (157)
- Типа безопасные языки Надо было писать на Rust ,
Аноним (42), 10:51 , 10-Дек-21, (41) –3 //
- как, в нем нет eval Нельзя загрузить в процесс какой-нибудь неожиданный код из,
пох. (?), 11:16 , 10-Дек-21, (49) +3 //
- Ага, язык, на котором ты напишешь систему управления атомным реактором, должен б,
Аноним (39), 11:26 , 10-Дек-21, (50) +1 //
- Конечно, язык Сейчас так модно разрабатывать - ядерные реакторы, ракеты особен,
пох. (?), 13:30 , 10-Дек-21, (90) +2 //
- Пох, как всегда, передергиваешь Язык не должен знать в какой последовательности,
Аноним (39), 15:12 , 10-Дек-21, (103)
- да-да, во всем виноват, помнити его - автор leftpad Взял и сломал нам весь инте,
пох. (?), 15:16 , 10-Дек-21, (105) –2
- Да тут не в языке дело Тут чтобы палку-копалку выстругать - изобрели бензопилу, ,
Онаним (?), 19:42 , 11-Дек-21, (149)
- Это где-то около надувания щёк - посмотрите, как мы можем Не зря же есть хорошая,
Онаним (?), 19:42 , 11-Дек-21, (150)
- да ладно это фон Браун с камрадами изобретали с нуля потом они в качестве трофе,
john_erohin (?), 13:10 , 11-Дек-21, (143)
- будет врать-то союз на старте взрывался протон на старте взрывался раз пять, не,
Михрютка (ok), 00:24 , 12-Дек-21, (151)
- Приплетаю тот самый Линдукс Тоже ведь торопились к праздничку Интересно, где о,
n00by (ok), 12:38 , 12-Дек-21, (153) –1
- А Маску - похрен, у него еще есть Бесконечные же ж был бы он предсказуем - п,
пох. (?), 08:35 , 13-Дек-21, (160) –1
- Успагойся, то был просто растотроллинг ,
Аноним (42), 15:10 , 10-Дек-21, (102) //
- Это не уязвимость Это - бэкдор, подобную функциональность включать в логах ,
Аноним (48), 11:16 , 10-Дек-21, (48) +2 //
- глобально и надёжно,
mos87 (ok), 12:06 , 10-Дек-21, (61) +3 //
- А вот если бы писали на Хаскеле ,
Аноним (64), 12:11 , 10-Дек-21, (63) //
- Говоря откровенно, Log4j уже лет 10 как не рекомендуется использовать Есть SLF4,
Аноним (65), 12:14 , 10-Дек-21, (65) //
- У нас в рекомендациях от архитектуры всё ровно наоброт, мол slf4j и logback уже ,
Аноним (67), 12:25 , 10-Дек-21, (67) +1 //
- Если пользоваться Spring, то logback официально рекомендуемый ,
Аноним (65), 12:45 , 10-Дек-21, (75) //
- он log4j 1х, это да, 10 лет из танка не вылезал,
ELF (ok), 13:25 , 10-Дек-21, (88) +2 //
- Есть JUL и его хватает для всего ,
Наме (?), 11:15 , 13-Дек-21, (165)
- Много где slf4j стоит с log4j бекендом, из-за того что много существующих либ ра,
morphe (?), 13:21 , 10-Дек-21, (86) +1
- Slf4j - по сути фасад, который можно навесить над разными логерами, в т ч log4j,
Ololo (?), 16:23 , 10-Дек-21, (111) +1
- Глупость, куда твой slf4j логирует Это интерфейс ,
hohoho (?), 21:55 , 10-Дек-21, (131) //
- там чтобы уязвимость работали макака должна пользовательскую строку не как парам,
Аноним (70), 12:34 , 10-Дек-21, (70) +1 //
- Самое время задействовать умение настройки firewall Блокируем исходящие соединен,
Аноним (72), 12:36 , 10-Дек-21, (72) +1 //
- ой, вендовая сеть легла Кнутователь уже бежит в твою сторону Не, я не советую в,
пох. (?), 13:11 , 10-Дек-21, (81) +1
- В url можно свой порт передать, никто не заставляет сервер с ldap держать не на ,
morphe (?), 13:19 , 10-Дек-21, (85) +1 //
- Причём тут java впринципе Мамкины кодеры любят использовать тонны third-party ф,
Аноним (80), 13:06 , 10-Дек-21, (80) +2 //
- молодец, профессионала за версту видно,
ELF (ok), 13:28 , 10-Дек-21, (89) +3
- А вы таки переизобретаете логгер для критически уязвимой инфраструктуры каждого ,
OramahMaalhur (ok), 14:11 , 10-Дек-21, (96) +4 //
- Абсолютно да Third party только по абсолютной необходимости, всегда хотя бы с,
Онаним (?), 21:05 , 10-Дек-21, (128) +1
- Вполне ожидаемо от апача и жавы ,
Аноним (94), 13:41 , 10-Дек-21, (94)
- У бизнеса лог4ж-1 2 массово все эти новые технологии в бизнес не придут еще ,
IdeaFix (ok), 16:12 , 10-Дек-21, (109) +2
- Зато Eclipse после установки лагина приходится перезапускать ,
n00by (ok), 17:41 , 10-Дек-21, (122)
- В статье не упоминается что уязвимость в PatternLayout Если вы используете друг,
hohoho (?), 21:59 , 10-Дек-21, (132)
- Вспоминается та недавняя уявзимость в imagemagick Тоже ходило в интернет куда с,
Аноним (134), 22:46 , 10-Дек-21, (134) //
- На жабе не пишу, но недавно приходилось прикручивать кое-какие поделки через JNI,
Аноним (-), 23:07 , 10-Дек-21, (135) –1 //
- Весь мир в труху, абсурд, коррупцию, хаос и скайнеты PS Java - и пусть весь м,
InuYasha (??), 17:12 , 11-Дек-21, (148)
- катастрофическая,
spanjokus (ok), 17:13 , 12-Дек-21, (154)
- log4j всегда был индуским шлаком Надо быть без башки, чтобы его использовать в ,
Наме (?), 10:24 , 13-Дек-21, (161)
- А файрвол не JNDI-запросы наружу это как-то вызывает вопросы, мягко скажем ,
Наме (?), 10:30 , 13-Дек-21, (162)
- В теории, если в java security настроено разрешение загрузки классов только из р,
shricke (??), 17:37 , 13-Дек-21, (169) +1
- А все потому, что не на растишке написан ,
szt1980 (ok), 00:02 , 17-Дек-21, (174) –1
1,2,3,8,13,16,17,21,22,24,28,29,30,31,35,40,41,48,61,63,65,70,72,80,94,109,122,132,134,135,148,154,161,162,169,174
|
Вариант для распечатки
