The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от opennews (ok), 29-Дек-21, 10:21 
Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Проблема  позволяет организовать удалённое выполнение кода, но помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации - атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия менять параметры конфигурации (log4j2.configurationFile) или вносить изменения в существующие файлы c настройками для ведения лога...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56428

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +7 +/
Сообщение от макпыф (ok), 29-Дек-21, 10:21 
Помнится не так давно была неделя дыр в ebpf. Теперь вот log4j

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +3 +/
Сообщение от ryoken (ok), 29-Дек-21, 11:22 
Да-да, ещё вот про дуршлаги в Интеле давно не писали, прям странно :D.
Ответить | Правка | Наверх | Cообщить модератору

2. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (2), 29-Дек-21, 10:49 
миллионы глаз находят дыры даже там, где раньше в упор не видели.
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +3 +/
Сообщение от Аноним (3), 29-Дек-21, 11:13 
Миллионы дыр прячутся от миллиона глаз - кто кого?
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от FreeStyler (ok), 29-Дек-21, 11:27 
вечная борьба, как и эволюция
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +2 +/
Сообщение от Царь (?), 29-Дек-21, 11:38 
Лимит на эволюцию исчерпан
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от псевдонимус (?), 29-Дек-21, 12:25 
Судя по последним событиям, да. И это чудесно )
Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от псевдонимус (?), 29-Дек-21, 12:28 
Но тыплохого не подумай, я люблю господина ПЖ!

ЗЫ: что за беда -- то горшков под ёлку навалит, то в новостях вот это все..

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +1 +/
Сообщение от OpenBotNET (ok), 29-Дек-21, 11:41 
Миллионам глаз плевать на корпоративную Java.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от псевдонимус (?), 29-Дек-21, 12:30 
А миллионам юзеров нет. Потому засуньте свои гляделки обратно в ЛПУ, где они и прибывали.
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (-), 29-Дек-21, 21:18 
Значит теперь у кого-то будет миллионный ботнет из этих юзеров, что ж поделать, участь у лохов такая. А они будут с невинной мордой вещать - "ой чойта меня везде зобанили и капчи кажут?!"
Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от псевдонимус (?), 29-Дек-21, 12:31 
>Жопу

Самофикс.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (8), 29-Дек-21, 12:23 
Надо обязательно обесклычивать данные прежде чем записывать в лог
Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Ведмед (?), 29-Дек-21, 13:15 
"А вот признайся, мужык - ты ведь сюда не на охоту ходишь?!"
Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +3 +/
Сообщение от Винтажный газогенератор (?), 29-Дек-21, 13:21 
Казалось бы, надо всего лишь - взять строчку и записать ее в файл. Ну в крайнем случае по сислогу ее в сеть пульнуть. Но нет, надо накрутить вокруг этого свистоперделок. И вот результат.
Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  –1 +/
Сообщение от ms is piese of s (?), 29-Дек-21, 16:11 
Сценариев ведения логов больше одного, это может быть запись в бд, по сети, кастомный коннектор и черт в ступе. Естественно, в большинестве случаев такая функциональность избыточна, особенно на локалхосте, но тем не менее, вероятно многие проекты тянут неосознанно или прилетает в зависимостях используют 2-ю версию, когде есть дубовая 1-я версия для простого случая. Не нужно забывать, что есть и по умолчании логер в самой JDK и можно обойтись без лог4ж вообще.
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (17), 29-Дек-21, 20:11 
Ммм я не знаю насчёт сабжа, но возможность управлять подробностью логов на уровне подключаемых модулей это красиво. Особенно, на локалхосте. Принтов конечно хватит всем, но вот способность батарейки контролировать многого стоит. Скажем, в питоне с логами всё красиво, насколько я знаю, вдохновлялись именно жабой.
Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  –2 +/
Сообщение от Онаним (?), 29-Дек-21, 21:17 
На уровне загружаемых от любого васяна подключаемых модулей?
Не, спасибо.
Ответить | Правка | Наверх | Cообщить модератору

24. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (17), 30-Дек-21, 11:24 
Если Васяну надо, то да, но вообще это уже зависит от Васяна, какую он информацию будет выводить, а ты только выбираешь подробность, и куда отправить. Батарейки всё больше от серьёзных организаций и имеют широкое применение в продакшене, так что стандарты на уровне. Это же не жс с его рекламой в логах.
Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Онаним (?), 30-Дек-21, 13:15 
ЫЫы, в случае log4j внезапно выяснилось, что выбирает, что загрузить, другой васян :D
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (-), 30-Дек-21, 00:41 
Бррр, красиво, говоришь?
В питоне много где джависты нарукожопили со своим менталитетом.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

25. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (8), 30-Дек-21, 12:17 
Безопасная запись в бд с помощью подготовленных выражений доступна в java из коробки.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

16. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от лютый жабби__ (?), 29-Дек-21, 17:46 
>Казалось бы, надо всего лишь - взять строчку и записать ее в файл

Скорее да, чем нет. И у таких проектов log4j2 не используется )

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Аноним (-), 29-Дек-21, 21:16 
Извините, я запутался, это которая по счету дырка в этой штуке?
Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +1 +/
Сообщение от Онаним (?), 30-Дек-21, 00:46 
n+1'я
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Анонимemail (23), 30-Дек-21, 09:38 
Ни дня без новых уязвимостей log4j
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"  +/
Сообщение от Pilat (ok), 01-Янв-22, 13:34 
Вроде и открытые исходники, и миллионы пользователей... и всё равно никто не посмотрел в эти исходники.
Всё что требовалось - записать строчку в лог. Записали...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру