PC Ekspert Forum

PC Ekspert Forum (https://forum.pcekspert.com/index.php)
-   Web dizajn, programiranje i ostalo (https://forum.pcekspert.com/forumdisplay.php?f=39)
-   -   Log4j zero day flaw (https://forum.pcekspert.com/showthread.php?t=310913)

strgani 15.12.2021. 09:40
Log4j zero day flaw
 
Ne znam koliko vas se bavi programiranjem ovdje i koliko ste upoznati, zanima me kakva su vaša mišljenja o ovom exploitu i kako će se odraziti na cjelokupni web, situaciju sa sigurnošću, korištenjem open software-a, znate li koga da je već nadrapao zvog tog exploita, itd.

Cnet članak

Wired članak

Fastly članak

Mommistake 15.12.2021. 09:52
Mišljenja su odlična... #sarkazam

Uglavnom, jedan od najvećih, ako ne i najveći secuity exploit u zadnjih 10 godina (neki kažu ikad).

Ono, hackeri ti uđu u system (bilo to Windows, Linux ili Apple), vrlo jednostavno, bez passworda i rade što žele. :D

Radio sam cijelu nedjelju da pokrpam stvari i izdiplojam promjene, čisto preventivno. Elastic search, Logstash, Solr itd...

Mene i moje projekte zahvatilo, ali nije bilo sranja, riješili sve na vrijeme.

Night 15.12.2021. 10:32
Tko koristi UniFi kontroler neka ga obavezno patchira, to je jedna od puno aplikacija koje koriste Log4j.

strgani 15.12.2021. 10:56
Sva sreća pa u RH puno većih firmi biva not up to date pa ima starije verzije koje nisu pogođene tim problemima.

Mislim da ćemo još dugo slušati na kapaljku o firmama koje su pogođene, ali naravno da ne žele da iscuri info.

Edit: zasad sam čitao samo o minecraft serverima...

Ivo_Strojnica 15.12.2021. 12:05
Ja koristim System.out.println(), pa su mi sve aplikacije koje sam isporučio sigurne.
(call me old-fashioned) :D
Cijeli vikend smo se bavili xPlore, Elastic searchevima, Tomcat deploymentima....
Uglavnom, riješeno i pokrpano sve.

Ovo je jeben exploit, pogotovo za Linux uređaje, koje su na enterprise sustavima default instalacija.
Isprobano, nevjerojatno kako se lako dobije pristup.

I tko bi reka, radi fakin Minecrafta otkriven issue. :D

tomek@vz 15.12.2021. 12:43
Bez brige nije ni tu gore bolje - cijeli tjedan shitstorm.

tpm4 15.12.2021. 16:35
Koristim verzije 1.x , ovo je zahvatilo 2.0-2.15. :D
Ubacili su novu funkciju u log4j i napravili bug/exploit, nista cudno...

medo 15.12.2021. 19:52
Također sve je 1.x i ništa nije prema van.

Organski ne podnosim Javu. Oduvijek.

OuttaControl 15.12.2021. 19:54
Mi koristimo log4net, koji izgleda nema takav problem(imao je svoj share problema), ali smo dobili upit od svakog klijenta jel mi koristimo log4j :D

#rantmode on




Dokaz da su ove security testing firme za k**** maltretiraju me sa disejblanjem screenshotova, pejstanja passworda i copy pejstanja općenito a niko nije bio sposoban nac ovoliki propust, a na predavanjima uče o ubacivanju koda u logove i kako je to jedan od cescih exploitova, pogotovo sa xml fajlovima


#rantmode off

Mac_F 15.12.2021. 20:14
Ako netko hoće probat i poigrat se: https://tryhackme.com/room/solar

tomek@vz 15.12.2021. 20:32
I 1.x je problematican - al ne u toj mjeri. Sto se 2.15 tice - nope - tek 2.15 rc2 i 2.16 su safe...zasad :lol2:

DiTech 15.12.2021. 21:15
Citiraj:
Autor Mac_F (Post 3569153)
Ako netko hoće probat i poigrat se: https://tryhackme.com/room/solar
Odlicno lik objasnio kako su ustvari napravili exploit.
Pitam se kolko takvih rupa ima da ih neznamo, jos.

tomek@vz 16.12.2021. 07:43
Mi smo u fazi migracije svega na 2.16. Pain in the ass.

https://logging.apache.org/log4j/2.x...migration.html


+ Alternativa http://www.slf4j.org/

tomek@vz 17.12.2021. 11:13
https://www.techspot.com/news/92661-...y-has-own.html


:chears:

strgani 20.12.2021. 09:46
Citiraj:
Autor tomek@vz (Post 3569537)
Ima i 2.16 svoje probleme :D

domis 20.12.2021. 11:14
ne zaboravite i updejtati iphone, prelako je dobiti pristup samo ako je wifi ukljucen. al izgleda da su popravili s 15.2


Sva vremena su GMT +2. Sada je 06:18.

Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger