https://www.opennet.me/openforum/vsluhforumID3/126198.html В библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45105), которая в отличие от двух прошлых проблем, отнесена к категории опасных, но не критических. Новая проблема позволяет вызвать отказ в обслуживании и проявляется в виде зацикливания и аварийного завершения при обработке определённых строк. Уязвимость устранена в опубликованном несколько часов назад выпуске Log4j 2.17. Опасность уязвимости сглаживает то, что проблема проявляется только на системах с Java 8...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56370<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#123 Sun, 26 Dec 2021 19:38:03 GMT Leftpad<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#122 Fri, 24 Dec 2021 05:05:36 GMT aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!<br><br>p.s. это не то что вы подумали, это - для регулярок.<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#121 Fri, 24 Dec 2021 05:04:04 GMT Отлично, а они эти чудные выражовывания реализуют? И если да, то они это секурно делают? :)<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#120 Fri, 24 Dec 2021 05:03:04 GMT А log4j у вас есть? Большому кораблю - большую торпеду!<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#119 Wed, 22 Dec 2021 15:39:33 GMT &gt;&gt; кто в трезвом уме и здравой памяти будет переводить прод на java 9?<br>&gt; Её поддержка уже один раз чуть не закончилась. Но она таки когда-нибудь <br>&gt; закончится. Кому-то это может по-барабану, но большие конторы так не могут <br>&gt; - они обязаны соблюдать определённые правила. Например о том, что должна <br>&gt; быть поддержка - используемые библиотеки должны официально поддерживаться, то есть для <br>&gt; них выпускаются патчи при обнаружении проблем и всё такое.<br>&gt; Плюс сами библиотеки могут заканчивать поддержку старых версий жавы. Мир-то тоже не <br>&gt; стоит на месте.<br><br>с каких пор поддержка джавы 9 не закончилась? она закончилась с выходом джавы 10.<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#118 Wed, 22 Dec 2021 14:58:19 GMT &gt; Можете привести пример таких экзотических библиотек? Что-то мне ни разу такие не <br>&gt; попадались. Или это самописные?<br><br>Экзотические библиотеки с обратной несовместимостью при смене мажорной версии:<br><br>https://github.com/spring-projects/spring-framework/wiki/Upgrading-to-Spring-Framework-5.x<br><br>Плюс все зависимости которые в связи с этим надо тоже обновить.<br><br>Плюс ещё одна экзотическая, самописная библа "Hibernate", и так далее.<br><br>Не говоря уже о том, что начиная с J9, из stdlib физически удалили некоторые API.<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#117 Wed, 22 Dec 2021 08:21:38 GMT configurations.all {<br> exclude group: "log4j", module: "log4j"<br>}<br><br>PS: нравится XML-программирование - пользуйтесь. Обычно люди хотят иметь удобный и надёжный инструмент....<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#116 Wed, 22 Dec 2021 08:17:38 GMT А при чём здесь Spring? В Spring Boot по-умолчанию log4j не используется. А вот проблемы c GlassFish при размещении Spring-приложений - это факт.<br> https://www.opennet.me/openforum/vsluhforumID3/126198.html#115 Tue, 21 Dec 2021 20:02:53 GMT [code]<br>${${::-${::-$${::-j}}}}<br>[/code]<br>