"Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" | +/– |  |
| Сообщение от opennews (ok), 29-Дек-21, 10:21 | ||
Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Проблема позволяет организовать удалённое выполнение кода, но помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации - атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия менять параметры конфигурации (log4j2.configurationFile) или вносить изменения в существующие файлы c настройками для ведения лога... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 1. Сообщение от макпыф (ok), 29-Дек-21, 10:21 | +7 +/– |  |
Помнится не так давно была неделя дыр в ebpf. Теперь вот log4j | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #4 | ||
| 2. Сообщение от Аноним (2), 29-Дек-21, 10:49 | +/– | |
миллионы глаз находят дыры даже там, где раньше в упор не видели. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #3, #7 | ||
| 3. Сообщение от Аноним (3), 29-Дек-21, 11:13 | +3 +/– | |
Миллионы дыр прячутся от миллиона глаз - кто кого? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #2 Ответы: #5 | ||
| 4. Сообщение от ryoken (ok), 29-Дек-21, 11:22 | +3 +/– |  |
Да-да, ещё вот про дуршлаги в Интеле давно не писали, прям странно :D. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 5. Сообщение от FreeStyler (ok), 29-Дек-21, 11:27 | +/– |  |
вечная борьба, как и эволюция | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #3 Ответы: #6 | ||
| 6. Сообщение от Царь (?), 29-Дек-21, 11:38 | +2 +/– | |
Лимит на эволюцию исчерпан | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #5 Ответы: #9, #10 | ||
| 7. Сообщение от OpenBotNET (ok), 29-Дек-21, 11:41 | +1 +/– |  |
Миллионам глаз плевать на корпоративную Java. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #2 Ответы: #11, #12 | ||
| 8. Сообщение от Аноним (8), 29-Дек-21, 12:23 | +/– | |
Надо обязательно обесклычивать данные прежде чем записывать в лог | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 9. Сообщение от псевдонимус (?), 29-Дек-21, 12:25 | +/– | |
Судя по последним событиям, да. И это чудесно ) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #6 | ||
| 10. Сообщение от псевдонимус (?), 29-Дек-21, 12:28 | +/– | |
Но тыплохого не подумай, я люблю господина ПЖ! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #6 | ||
| 11. Сообщение от псевдонимус (?), 29-Дек-21, 12:30 | +/– | |
А миллионам юзеров нет. Потому засуньте свои гляделки обратно в ЛПУ, где они и прибывали. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #7 Ответы: #20 | ||
| 12. Сообщение от псевдонимус (?), 29-Дек-21, 12:31 | +/– | |
>Жопу | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #7 | ||
| 13. Сообщение от Ведмед (?), 29-Дек-21, 13:15 | +/– | |
"А вот признайся, мужык - ты ведь сюда не на охоту ходишь?!" | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 14. Сообщение от Винтажный газогенератор (?), 29-Дек-21, 13:21 | +3 +/– | |
Казалось бы, надо всего лишь - взять строчку и записать ее в файл. Ну в крайнем случае по сислогу ее в сеть пульнуть. Но нет, надо накрутить вокруг этого свистоперделок. И вот результат. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #15, #16 | ||
| 15. Сообщение от ms is piese of s (?), 29-Дек-21, 16:11 | –1 +/– | |
Сценариев ведения логов больше одного, это может быть запись в бд, по сети, кастомный коннектор и черт в ступе. Естественно, в большинестве случаев такая функциональность избыточна, особенно на локалхосте, но тем не менее, вероятно многие проекты тянут неосознанно или прилетает в зависимостях используют 2-ю версию, когде есть дубовая 1-я версия для простого случая. Не нужно забывать, что есть и по умолчании логер в самой JDK и можно обойтись без лог4ж вообще. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #14 Ответы: #17, #25 | ||
| 16. Сообщение от лютый жабби__ (?), 29-Дек-21, 17:46 | +/– | |
>Казалось бы, надо всего лишь - взять строчку и записать ее в файл | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #14 | ||
| 17. Сообщение от Аноним (17), 29-Дек-21, 20:11 | +/– | |
Ммм я не знаю насчёт сабжа, но возможность управлять подробностью логов на уровне подключаемых модулей это красиво. Особенно, на локалхосте. Принтов конечно хватит всем, но вот способность батарейки контролировать многого стоит. Скажем, в питоне с логами всё красиво, насколько я знаю, вдохновлялись именно жабой. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #15 Ответы: #19, #21 | ||
| 18. Сообщение от Аноним (-), 29-Дек-21, 21:16 | +/– | |
Извините, я запутался, это которая по счету дырка в этой штуке? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #22 | ||
| 19. Сообщение от Онаним (?), 29-Дек-21, 21:17 | –2 +/– | |
На уровне загружаемых от любого васяна подключаемых модулей? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 Ответы: #24 | ||
| 20. Сообщение от Аноним (-), 29-Дек-21, 21:18 | +/– | |
Значит теперь у кого-то будет миллионный ботнет из этих юзеров, что ж поделать, участь у лохов такая. А они будут с невинной мордой вещать - "ой чойта меня везде зобанили и капчи кажут?!" | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #11 | ||
| 21. Сообщение от Аноним (-), 30-Дек-21, 00:41 | +/– | |
Бррр, красиво, говоришь? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 | ||
| 22. Сообщение от Онаним (?), 30-Дек-21, 00:46 | +1 +/– | |
n+1'я | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #18 | ||
23.
Сообщение от Аноним (23), 30-Дек-21, 09:38
| +/– |  |
Ни дня без новых уязвимостей log4j | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 24. Сообщение от Аноним (17), 30-Дек-21, 11:24 | +/– | |
Если Васяну надо, то да, но вообще это уже зависит от Васяна, какую он информацию будет выводить, а ты только выбираешь подробность, и куда отправить. Батарейки всё больше от серьёзных организаций и имеют широкое применение в продакшене, так что стандарты на уровне. Это же не жс с его рекламой в логах. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #19 Ответы: #26 | ||
| 25. Сообщение от Аноним (8), 30-Дек-21, 12:17 | +/– | |
Безопасная запись в бд с помощью подготовленных выражений доступна в java из коробки. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #15 | ||
| 26. Сообщение от Онаним (?), 30-Дек-21, 13:15 | +/– | |
ЫЫы, в случае log4j внезапно выяснилось, что выбирает, что загрузить, другой васян :D | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #24 | ||
| 29. Сообщение от Pilat (ok), 01-Янв-22, 13:34 | +/– |  |
Вроде и открытые исходники, и миллионы пользователей... и всё равно никто не посмотрел в эти исходники. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
