The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов"  +/
Сообщение от opennews (??), 18-Дек-21, 23:43 
В библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45105), которая в отличие от двух прошлых проблем, отнесена к категории опасных, но не критических. Новая проблема позволяет вызвать отказ в обслуживании и проявляется в виде зацикливания и аварийного завершения при обработке определённых строк. Уязвимость устранена в опубликованном несколько часов назад выпуске Log4j 2.17. Опасность уязвимости сглаживает то, что проблема проявляется только на системах с Java 8...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56370

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +41 +/
Сообщение от Аноним (1), 18-Дек-21, 23:43 
Те, у кого по какой-то причине до сих пор нигде нет жавы во все щели, выдохнули. В очередной раз.
Ответить | Правка | Наверх | Cообщить модератору

21. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (21), 19-Дек-21, 03:45 
По апач продуктам вообще не страдаю, не пользуюсь совсем.
Ответить | Правка | Наверх | Cообщить модератору

54. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –1 +/
Сообщение от Аноним (54), 19-Дек-21, 14:17 
Apache Kafka смеётся тебе в лицо!
Ответить | Правка | Наверх | Cообщить модератору

55. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (55), 19-Дек-21, 14:25 
Есть redpanda
Ответить | Правка | Наверх | Cообщить модератору

60. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Брат Анон (ok), 19-Дек-21, 18:32 
Только у тебя. А у нас в далеко не мелкой конторе -- кафка.
Ответить | Правка | Наверх | Cообщить модератору

66. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Заноним (?), 19-Дек-21, 21:56 
Снимем шляпу, помянем.
Ответить | Правка | Наверх | Cообщить модератору

120. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (-), 24-Дек-21, 08:03 
А log4j у вас есть? Большому кораблю - большую торпеду!
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

61. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (21), 19-Дек-21, 20:19 
Что за хрень и почему её у меня ещё нет?!
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

26. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Онаним (?), 19-Дек-21, 07:07 
Угу. Пара аппликух есть, но всё Not Affected, судя по приведённому листу, да и во внешний мир они не смотрят.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

34. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от commiethebeastie (ok), 19-Дек-21, 10:04 
У меня Ignition, правда он всё равно только через ssh доступен.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

39. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +3 +/
Сообщение от Аноним (39), 19-Дек-21, 10:49 
Да успокойтесь. Не все используют log4j2, и не всех оно касается даже из тех, кто использует.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

62. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –2 +/
Сообщение от Аноним (21), 19-Дек-21, 20:25 
> не всех оно касается даже из тех, кто использует.

"У меня нет дыры, у меня нет дыры...", - это такая новая молитва, что ли?

Ответить | Правка | Наверх | Cообщить модератору

94. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Аноним (39), 20-Дек-21, 17:36 
Нет. Здравый расчёт и понимание архитектуры своих приложений и используемых ими библиотек.
Ответить | Правка | Наверх | Cообщить модератору

114. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –1 +/
Сообщение от жорик (?), 21-Дек-21, 23:02 
${${::-${::-$${::-j}}}}
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

115. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от жорик (?), 21-Дек-21, 23:02 

${${::-${::-$${::-j}}}}

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –2 +/
Сообщение от zloykakpes (ok), 18-Дек-21, 23:46 
Ну логично, в принципе. После нахождения уязвимости каждый старается по максимуму накинуть вариаций, как бы ей воспользоваться. После всей этой истории log4j будет пуленепробиваемым с отличной базой тестов для QA.
Ответить | Правка | Наверх | Cообщить модератору

5. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +16 +/
Сообщение от Аноним (5), 19-Дек-21, 00:23 
Спекулятивное выполнение уже стало пуленепробиваемым после всей той истори?
Ответить | Правка | Наверх | Cообщить модератору

31. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +4 +/
Сообщение от Онаним (?), 19-Дек-21, 09:48 
> После всей этой истории некоторые вариации так и останутся неопубликованными

Fixed

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

40. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –1 +/
Сообщение от Аноним (39), 19-Дек-21, 10:50 
> log4j будет пуленепробиваемым

Или все плюнут на неё и просто будут использовать другой логгер. Благо, переходники с log4j на другие бакенды есть.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

121. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (-), 24-Дек-21, 08:04 
Отлично, а они эти чудные выражовывания реализуют? И если да, то они это секурно делают? :)
Ответить | Правка | Наверх | Cообщить модератору

52. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +2 +/
Сообщение от all_glory_to_the_hypnotoad (ok), 19-Дек-21, 13:33 
У log4j архитектор умственно отсталый, как и персонажи прикатывающие этот хлам себе в проекты. Потому не станет
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

58. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (-), 19-Дек-21, 17:01 
покажи свой неумственноотсталый log4j
Ответить | Правка | Наверх | Cообщить модератору

64. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Аноним (21), 19-Дек-21, 20:41 
"Сначала добейся!" (с)
Ответить | Правка | Наверх | Cообщить модератору

78. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Наме (?), 20-Дек-21, 11:31 
Потому что нужно стараться делать в рамках кодовой базы SE или ЕЕ, а не тянуть всякую хваль. Есть JUL. Он дубовый и простой. Он входит в стандартную библиотеку и его оперативно фиксят. Вот его и стоит использовать, а не всяких хлако-спринг с кучей индусятины в зависимостях.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

99. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от andy (??), 20-Дек-21, 21:03 
syslog, слушает 514/udp, если rsyslog, то еще и tcp можно настроить, для гарантированной доставки. Не благодари.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

3. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +19 +/
Сообщение от Анонимemail (3), 18-Дек-21, 23:55 
Астрологи объявили неделю уязвимостей Log4j
Ответить | Правка | Наверх | Cообщить модератору

4. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +5 +/
Сообщение от x3who (?), 19-Дек-21, 00:22 
астрологи из DARPA наверное
Ответить | Правка | Наверх | Cообщить модератору

6. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Аноним (6), 19-Дек-21, 00:31 
Хороший однако ящик Пандоры открыли в этом году
Ответить | Правка | Наверх | Cообщить модератору

9. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Аноним (21), 19-Дек-21, 00:41 
> в этом году

Кто сказал, что им не пользовались в предыдущих годах?!

Ответить | Правка | Наверх | Cообщить модератору

24. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (24), 19-Дек-21, 04:36 
Ну так открыли то в этом
Ответить | Правка | Наверх | Cообщить модератору

28. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +4 +/
Сообщение от Аноним (21), 19-Дек-21, 08:15 
Так сказать, уведомили, что давно вертели вас на.
Ответить | Правка | Наверх | Cообщить модератору

80. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –1 +/
Сообщение от Наме (?), 20-Дек-21, 11:33 
Майки выкатили кор 6, им нужно потолкаться на уже сложившемся рынке. Вот и "открыли" протухшие консервы.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

110. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (110), 21-Дек-21, 13:39 
Как консервы могут протухнуть? Они же закрыты от внешней среды
Ответить | Правка | Наверх | Cообщить модератору

7. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +2 +/
Сообщение от Аноним (7), 19-Дек-21, 00:39 
С нормальными политиками fw исходящего траффика с продакшена риски можно заметно снизить.
Костыль до нормального патча всех проектов.
Ответить | Правка | Наверх | Cообщить модератору

47. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (47), 19-Дек-21, 11:41 
Почти всегда DNS-трафик разрешен, т.к. нужен. Пихаешь данные в base64 и отправляешь на свой поддомен, который обслуживает твой DNS сервер.
Как от этого защититься fw? Мне кажется, никак. Тут только какие-то хитрые IPS/IDS с анализом интенсивности трафика или сигнатурами по определенной структуре запросов. Или вы про первичное выкачивание java-класса?
Ответить | Правка | Наверх | Cообщить модератору

57. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (7), 19-Дек-21, 15:09 
Правильно настроенный fw не ограничивается tcp/udp портами in/out.
Все пихания данных по DNS через base64 это огромное кол-во TXT запросов с хоста в дмз, которые так же
нужно резать. Все крупные IPS это умеют уже с начала 10х годов, можно загуглить "block dns tunneling"
Ответить | Правка | Наверх | Cообщить модератору

81. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Наме (?), 20-Дек-21, 11:34 
JNDI-запрос это не DNS-запрос.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

87. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от MVK (??), 20-Дек-21, 13:01 
>JNDI-запрос это не DNS-запрос

- если в качестве реестра не используется DNS-сервер, что возможно. Выпендрился чисто ради расширения юзерского кругозора

Ответить | Правка | Наверх | Cообщить модератору

10. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +4 +/
Сообщение от Аноним (10), 19-Дек-21, 00:57 
а что это за   Log4j  ?
Ответить | Правка | Наверх | Cообщить модератору

12. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от iZENemail (ok), 19-Дек-21, 01:30 
Log4j — сторонняя библиотека логирования. В самой Java JRE/JDK есть собственная библиотека логирования, которая менее подвержена уязвимостям.
Ответить | Правка | Наверх | Cообщить модератору

86. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Наме (?), 20-Дек-21, 12:41 
Спринг использует логфоджи в зависимостях.
Ответить | Правка | Наверх | Cообщить модератору

96. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (96), 20-Дек-21, 19:33 
Сам Спринг (spring-core) зависит от JCL, а в Spring Boot (spring-boot-starter-logging) по дефолту Logback.
Ответить | Правка | Наверх | Cообщить модератору

22. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +4 +/
Сообщение от Аноним (21), 19-Дек-21, 03:47 
Библиотека для троянов. Это надо же наумиться надо было разыменовывать внешние строки...
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

123. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от A.N. Onimous (?), 26-Дек-21, 22:38 
Leftpad
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (11), 19-Дек-21, 01:24 
Нужно валидировать данные которые записываешь в лог!
А ещё нужно делать обесклычивание, как советуют местные эксперты.
Ответить | Правка | Наверх | Cообщить модератору

23. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +4 +/
Сообщение от Аноним (21), 19-Дек-21, 03:49 
Давным-давно в телеграммах писали так: "приеду завтра зпт встречайте тчк". Это так, для намёка современным индусам.
Ответить | Правка | Наверх | Cообщить модератору

111. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –1 +/
Сообщение от Аноним (11), 21-Дек-21, 14:25 
Тчк/зпт использовалось не потому что программисты индусы и не хотят записи в лог валидировать, а из за сложности переключения страниц в телеграфе

Написать такой логер в котором выполнение произвольного кода, это надо какую-то особую форму гениальности иметь

Ответить | Правка | Наверх | Cообщить модератору

68. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Аноним (68), 20-Дек-21, 03:41 
И какая там валидация должна быть? Нужно было код библиотеки прочитать и понять, что надо удалять хитрожопые подстановки, но тогда логика библиотеки перетечет в логику валидации. Вывод тут простой: библиотека логирования делала по умолчанию то, чего не должна была делать.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

14. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +9 +/
Сообщение от Wilem82 (ok), 19-Дек-21, 02:14 
> Опасность уязвимости сглаживает то, что проблема проявляется только на системах с Java 8.

"Сглаживает"? Это как бы основная версия жавы в продакшене. В жаве 9 сломали обратную совместимость так сильно, что многие до сих пор мигрировать не могут.

Ответить | Правка | Наверх | Cообщить модератору

15. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +2 +/
Сообщение от Тинус Лорвальдс (ok), 19-Дек-21, 02:28 
кто в трезвом уме и здравой памяти будет переводить прод на java 9?
Ответить | Правка | Наверх | Cообщить модератору

16. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +4 +/
Сообщение от Wilem82 (ok), 19-Дек-21, 02:38 
> кто в трезвом уме и здравой памяти будет переводить прод на java 9?

Её поддержка уже один раз чуть не закончилась. Но она таки когда-нибудь закончится. Кому-то это может по-барабану, но большие конторы так не могут - они обязаны соблюдать определённые правила. Например о том, что должна быть поддержка - используемые библиотеки должны официально поддерживаться, то есть для них выпускаются патчи при обнаружении проблем и всё такое.

Плюс сами библиотеки могут заканчивать поддержку старых версий жавы. Мир-то тоже не стоит на месте.

Ответить | Правка | Наверх | Cообщить модератору

119. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Тинус Лорвальдс (ok), 22-Дек-21, 18:39 
>> кто в трезвом уме и здравой памяти будет переводить прод на java 9?
> Её поддержка уже один раз чуть не закончилась. Но она таки когда-нибудь
> закончится. Кому-то это может по-барабану, но большие конторы так не могут
> - они обязаны соблюдать определённые правила. Например о том, что должна
> быть поддержка - используемые библиотеки должны официально поддерживаться, то есть для
> них выпускаются патчи при обнаружении проблем и всё такое.
> Плюс сами библиотеки могут заканчивать поддержку старых версий жавы. Мир-то тоже не
> стоит на месте.

с каких пор поддержка джавы 9 не закончилась? она закончилась с выходом джавы 10.

Ответить | Правка | Наверх | Cообщить модератору

17. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –3 +/
Сообщение от Аноним (17), 19-Дек-21, 02:40 
Ни разу не было проблем с миграцией на LTS. На Java 11 все отлично мигрируется.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +1 +/
Сообщение от Wilem82 (ok), 19-Дек-21, 02:51 
> На Java 11 все отлично мигрируется.

Что такое "отлично"? Это когда ничего делать не надо, просто заменяешь 8 на 11 и всё само работает? Или всё-таки приходится обновлять мажорные версии зависимостей - спринга, гибера и прочего?

Ответить | Правка | Наверх | Cообщить модератору

19. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Вася (??), 19-Дек-21, 03:01 
Отлично от миграции с 2 на 3 питон проекта сложнее Hello World.
Ответить | Правка | Наверх | Cообщить модератору

30. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +5 +/
Сообщение от zog (??), 19-Дек-21, 09:14 
Мы уже на Java 17 перешли, но нам проще, поскольку проект новый. А вы активно используете Unsafe и прочие вещи JVM, которые лишь для внутреннего использования?
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

56. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +3 +/
Сообщение от Wilem82 (ok), 19-Дек-21, 15:08 
> А вы активно используете Unsafe и прочие вещи JVM, которые лишь для внутреннего использования?

При чём тут "мы"? Этим всем пользуются популярные библиотеки. Перестают они этим пользоваться только в новых версиях, зачастую мажорных, ломающих обратную совместимость. Поэтому переход на J9+ тянет за собой огромные затраты по миграции чуть ли не всех библиотек на новые версии с переписыванием кода, а некоторые библиотеки вообще не имеют версии для J9+, поэтому приходится их выкидывать и переписывать код ранее от них зависящий.

Если у вас новый проект, то вы не "перешли" на J17, т.е. переходить не с чего - проект новый.  "Переход" имеет смысл в контексте уже существующего проекта, завязанного на J8, и таких проектов с 20-, 15-, 10-ти летней историей и кучей старого кода - навалом.

Ответить | Правка | Наверх | Cообщить модератору

90. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (90), 20-Дек-21, 13:18 
Можете привести пример таких экзотических библиотек? Что-то мне ни разу такие не попадались. Или это самописные?
Ответить | Правка | Наверх | Cообщить модератору

118. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Wilem82 (ok), 22-Дек-21, 17:58 
> Можете привести пример таких экзотических библиотек? Что-то мне ни разу такие не
> попадались. Или это самописные?

Экзотические библиотеки с обратной несовместимостью при смене мажорной версии:

https://github.com/spring-projects/spring-framework/wiki/Upg...

Плюс все зависимости которые в связи с этим надо тоже обновить.

Плюс ещё одна экзотическая, самописная библа "Hibernate", и так далее.

Не говоря уже о том, что начиная с J9, из stdlib физически удалили некоторые API.

Ответить | Правка | Наверх | Cообщить модератору

89. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (90), 20-Дек-21, 13:15 
Там всего несколько мест на самом деле которые поменялись и могут сломать системы, например поведение Set когда не найден элемент. Если их не использовать активно, то все ок. И если какие-то библиотеки используют module, то придется дать права старому кода на доступ к внутренностям (но это уже болье вина самих библиотек чем приложения). Ну и еще нужно проверить поведение зависимостей. В остальном если не на проекте не увлекались экзотическими функциями, то переход делается сменой номерков с 8 на 11.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

82. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Наме (?), 20-Дек-21, 11:36 
Да-да-да. Эталонные JEE работают только на 8-ке.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

88. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от MVK (??), 20-Дек-21, 13:05 
>Эталонные JEE работают только на 8-ке

- это Вы книге какого года издания прочли?

Ответить | Правка | Наверх | Cообщить модератору

93. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Наме (?), 20-Дек-21, 15:36 
Пятая Рыба работает стабильно только на 8-ке. Для этого и книг никаких не надо.
Ответить | Правка | Наверх | Cообщить модератору

98. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от MVK (??), 20-Дек-21, 20:47 
>Пятая Рыба работает стабильно только на 8-ке

- дружище, зачем пятая то? Eclipse GlassFish 6.2.3 - вышел в ноябре и с версии 6.1 поддерживает Java 11. А можно и WildFly качнуть, он тоже давно Java 11 поддерживает (WildFly 24 и на Java 17 может)

Ответить | Правка | Наверх | Cообщить модератору

103. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (-), 20-Дек-21, 23:15 
GlassFish был эталоном 10 лет назад на сановских наработках. Но зачем его сейчас то использовать?.... Оракл там на развитие ресурсы почти не выделяет.
Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

106. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Наме (?), 21-Дек-21, 10:08 
Рыбы как были эталонной реализацией, так ею и остаются. 6-тая ветка пока не стандартизирована. Поэтому 5-ка до сих пор актуальна. Это для тех, кто не хочет вот таких вот... сюрпризов. Для прочих -- есть спринг.
Ответить | Правка | Наверх | Cообщить модератору

109. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от MVK (??), 21-Дек-21, 11:31 
> Рыбы как были эталонной реализацией, так ею и остаются. 6-тая ветка пока
> не стандартизирована.

- брехня какая то: jakarta.ee/compatibility/#tab-9
И 6й GlassFish и WildFly 23 прошли тестирование на совместимость со спецификациями JakartaEE 9 и 9.1.

Ответить | Правка | Наверх | Cообщить модератору

116. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (-), 22-Дек-21, 11:17 
А при чём здесь Spring? В Spring Boot по-умолчанию log4j не используется. А вот проблемы c GlassFish при размещении Spring-приложений - это факт.
Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

20. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –1 +/
Сообщение от Аноним (21), 19-Дек-21, 03:43 
> зацикливание ... "${${::-${::-$${::-j}}}}"

Растаманы, где вы?! Как это починить самым безопасным языком в мире?

Ответить | Правка | Наверх | Cообщить модератору

25. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Cucumber (?), 19-Дек-21, 06:43 
У растоманов шаблоны падают на этапе копиляции, а не в продакшене.
Ответить | Правка | Наверх | Cообщить модератору

27. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –6 +/
Сообщение от Аноним (21), 19-Дек-21, 08:13 
Потому-то они ничего написать не могут...
Ответить | Правка | Наверх | Cообщить модератору

29. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +7 +/
Сообщение от Andrey (??), 19-Дек-21, 08:24 
У растоманов логи с продакшена собираются на этапе компиляции. :)
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

32. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –2 +/
Сообщение от Аноним (11), 19-Дек-21, 09:55 
Няша, ты ещё регулярные выражения не видел.
А как увидишь, сразу седым станешь.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

33. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  –2 +/
Сообщение от Аноним (11), 19-Дек-21, 09:57 
И в регулярных выражениях тоже могут быть зацикливания
Ответить | Правка | Наверх | Cообщить модератору

122. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Аноним (-), 24-Дек-21, 08:05 
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!

p.s. это не то что вы подумали, это - для регулярок.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

38. "Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ..."  +/
Сообщение от Прохожий (??), 19-Дек-21, 10:39 
И вам доброго утречка, Евгений Ваганович.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

35. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Аноним (35), 19-Дек-21, 10:16 
кто может толково объяснить  почему этот log4j все пытаются патчить, а не заменят на что-нибудь другое?
Ответить | Правка | Наверх | Cообщить модератору

37. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Прохожий (??), 19-Дек-21, 10:37 
Потому что пропатчить дешевле, чем заменить. Ваш Кэп.
Ответить | Правка | Наверх | Cообщить модератору

41. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +2 +/
Сообщение от Аноним (21), 19-Дек-21, 10:53 
> пропатчить дешевле

пока не получается - всё новые и новые дыры получаются.

Ответить | Правка | Наверх | Cообщить модератору

45. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (45), 19-Дек-21, 11:38 
По десять раз накатывать это шерето и оно до сих пор уязвимо. Там уже украли всю инфу какую можно было украсть.  
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

42. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (39), 19-Дек-21, 10:53 
Потому что не в курсе, что есть адаптеры на другие логгеры - http://logback.qos.ch/manual/migrationFromLog4j.html . Ну и личная упоротость разработчиков.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

67. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Ordu (ok), 20-Дек-21, 01:22 
Да, я могу объяснить.

1. Я сомневаюсь, что _все_ пытаются патчить, _вместо_ того, чтобы переползать.

2. Те, кто решил переползать закончат этот процесс ещё не скоро. Это может занять до полугода. И что ты им предложишь? Не патчить и жить с дырявым? Или уйти в оффлайн на это время?

3. log4j может использоваться депендансом, или несколькими. Так что мало свой код увести от lod4j, надо и чужой тоже.

4. Со временем дыры залатают. И когда это случится, вот сядут разрабы и задумаются: а собственно нахрена мы переползали?

5. Я читал мнение в интернете, что по-крайней мере первая дыра с ldap существовала благодаря обратной совместимости. Может разрабы log4j переосмыслят свой подход к обратной совместимости, перепилят синтаксис форматной строки, отломав оттуда 90% финтифлюшек, оставят ровно столько функционала, чтоб не более 5% зависимых проектов заметило бы изменение, и для этих 5% приделают опцию сборки "enable-deprecated-format-string"?

Короче, ещё рано делать выводы о том, отказывается ли кто-то или нет, и стоит ли овчинка выделки.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

72. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Аноним (21), 20-Дек-21, 08:17 
> переползать ... Это может занять до полугода

А, может, надо не переползать, а бежать? Тогда быстрее будет. Были времена, когда за год писали язык программирования + ось. Сейчас же программисты умеют только ползать от дыры к дыре.

Ответить | Правка | Наверх | Cообщить модератору

77. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  –1 +/
Сообщение от Ordu (ok), 20-Дек-21, 10:37 
>> переползать ... Это может занять до полугода
> А, может, надо не переползать, а бежать? Тогда быстрее будет.

Тебе нужна стабильность или скорость? Тут ситуация такая, что чем быстрее бежишь, чем дольше выходит. Программирование требует от программиста, чтобы тот _думал_ _головой_. А мышление требует времени. Те кто бежит -- те не думают, они пытаются решить проблему брутфорсом. Это работает ровно до тех пор, пока оно не перестаёт работать, и вот после этого уже не остаётся никакого выбора, кроме как выкинуть результат и начать заново.

> Были времена,
> когда за год писали язык программирования + ось.

Да, и Солнце было ярче, и память меряли в килобайтах. И те оси ничего не умели по сегодняшним меркам, и, соответственно, никому не нужны сегодня. Некоторые из языков программирования остались, но если ты присмотришься, они остались вовсе не потому, что нельзя сделать лучше, а потому, что переползать на новые и более подходящие для задачи языки сложнее, чем продолжать пользоваться убогими.

Ответить | Правка | Наверх | Cообщить модератору

108. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Наме (?), 21-Дек-21, 10:35 
Хорошее ПО это прежде всего про деньги, а не про думающих программистов. Про очень большие деньги и длительные циклы возврата инвестиций. Т.е. хорошее ПО в нынешних экономических реалиях невозможно хотя бы по экономическим причинам.
Ответить | Правка | Наверх | Cообщить модератору

83. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Наме (?), 20-Дек-21, 11:42 
Причина простая. Увы, большинство крупных проектов на Жабе, мягко скажем, крайне сложны своей бессистемностью и объёмом. Народ массово и бездумно использует чужой код, благо тянуть его через maven очень просто. Хвост зависимостей более-менее развитого проекта очень уж разухабист, а чаще всего в проекте просто нет людей, которые бы хоть как-то себе представляли весь "масштаб бедствия".
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

104. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (-), 20-Дек-21, 23:19 
В любом более-менее современном пакетном менеджере для Java очень легко вырезать ненужные зависимости. И даже полная перепаковка со сборкой нужных классов для Java не проблема. log4j2 заменяется переходником на slf4j, и всё. В том то и дело, что проблема очень странная. Зачем так держаться за log4j2? Кто использует какие-то фичи из него, которых не хватает в slf4j?
Ответить | Правка | Наверх | Cообщить модератору

107. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Наме (?), 21-Дек-21, 10:17 
Может быть, но по-моему, не меняется он легко в проекте, которому лет дцать, и у которого за это время группа разработки менялась сто раз. Это адский гемор.
В любом "пакетном менеджере" )))) Это в каком же? Везде maven. Вы знаете ещё какие-то? У шибко продвинутых bnd. Где-то в пыли gradle и ant.
Ответить | Правка | Наверх | Cообщить модератору

112. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (39), 21-Дек-21, 19:11 
gradle, maven, sbt, ivy, ... Откройте maven search и посмотрите - https://search.maven.org/artifact/org.springframework/spring...

И да, если в maven что-то сделать - это ужас-ужас, то в gradle чужие зависимости исключаются простым exclude. Как, впрочем, и миграция с maven на gradle в большинстве случаев проблем не вызывает. Но если вам нравится садомазо, то технически можете и в maven поправить.

Ответить | Правка | Наверх | Cообщить модератору

113. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от iZENemail (ok), 21-Дек-21, 19:18 
> gradle, maven, sbt, ivy, ... Откройте maven search и посмотрите - https://search.maven.org/artifact/org.springframework/spring...
> И да, если в maven что-то сделать - это ужас-ужас, то в
> gradle чужие зависимости исключаются простым exclude.

      <exclusions>
        <exclusion>  <!-- declare the exclusion here -->
          <groupId>sample.ProjectB</groupId>
          <artifactId>Project-B</artifactId>
        </exclusion>
      </exclusions>


> Как, впрочем, и миграция с
> maven на gradle в большинстве случаев проблем не вызывает. Но если
> вам нравится садомазо, то технически можете и в maven поправить.

Можем использовать == используем. Садомазо с Gradle сами занимайтесь.

Ответить | Правка | Наверх | Cообщить модератору

117. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (-), 22-Дек-21, 11:21 
configurations.all {
    exclude group: "log4j", module: "log4j"
}

PS: нравится XML-программирование - пользуйтесь. Обычно люди хотят иметь удобный и надёжный инструмент....

Ответить | Правка | Наверх | Cообщить модератору

49. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (49), 19-Дек-21, 13:19 
${${::-${::-$${::-j}}}})))))
Ответить | Правка | Наверх | Cообщить модератору

51. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (51), 19-Дек-21, 13:28 
толстый троллинг
Ответить | Правка | Наверх | Cообщить модератору

63. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Аноним (63), 19-Дек-21, 20:30 
cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

65. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +2 +/
Сообщение от xrensgory (?), 19-Дек-21, 21:14 
[:||||||||||:]
Ответить | Правка | Наверх | Cообщить модератору

59. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от pda (ok), 19-Дек-21, 18:05 
Вот это и есть opensource эффект миллиона глаз. В популярном пакете нашлась дыра и все на хайпе ринулись копать - что там есть ещё. :)
Ответить | Правка | Наверх | Cообщить модератору

69. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (69), 20-Дек-21, 07:45 
что-то из серии "Как за дешево провести аудит безопасности"
Ответить | Правка | Наверх | Cообщить модератору

70. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Аноним (70), 20-Дек-21, 08:11 
Кто конкретно внёс указанную уязвимость? С современными системами контроля версий выяснить это не составляет труда. Почему старательно обходятся вопросы персональной ответственности разработчика? Или лицензия на этот самый Log4j не даёт возможность привлекать разработчиков? Тогда почему сотни проектов используют код, за который никто и никак не отвечает? Всё это очень странно.
Ответить | Правка | Наверх | Cообщить модератору

71. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (21), 20-Дек-21, 08:13 
Ты даже и MS не привлечёшь, таков путь.
Ответить | Правка | Наверх | Cообщить модератору

75. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Аноним (75), 20-Дек-21, 10:04 
А почему ты обходишь такой вопрос что ты можешь сам поиском найти коммиты и во всеуслышание всем написать имя виноватого? Неужели мировая закулисья добралась и до тебя?
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

73. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноньимъ (ok), 20-Дек-21, 08:20 
>защита от неконтролируемой рекурсии

Похоже я узнал о существовании чего-то о чём мне не стоило знать.

Ответить | Правка | Наверх | Cообщить модератору

76. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Аноним (75), 20-Дек-21, 10:07 
Да факт существования такой защиты это секрет. Не стоит вскрывать эту тему. Ты молодой, шутливый, тебе все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, ты будешь жалеть. Лучше закрой тему и забудь, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.
Ответить | Правка | Наверх | Cообщить модератору

79. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +1 +/
Сообщение от Sw00p aka Jerom (?), 20-Дек-21, 11:32 
глубина рекурсии
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

74. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +4 +/
Сообщение от Аноним (74), 20-Дек-21, 09:06 
Наверное еще и логи бинарные у этого говна.
Ответить | Правка | Наверх | Cообщить модератору

84. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +3 +/
Сообщение от Аноним (84), 20-Дек-21, 11:51 
Бинарные?! Это ущемляет интересы меньшинств!
Ответить | Правка | Наверх | Cообщить модератору

105. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +/
Сообщение от Аноним (21), 21-Дек-21, 00:56 
> логи бинарные

Как не стыдно такое говорить! Логов - множество разновидностей: гомонарные, лезбинарные, транснарные...

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

85. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."  +2 +/
Сообщение от Аноним12345 (?), 20-Дек-21, 12:40 
Жаба уже никогда не будет прежней
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру