forum.opennet.ru - "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" (27)

"Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
Сообщение от opennews (ok), 29-Дек-21, 10:21
Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Проблема позволяет организовать удалённое выполнение кода, но помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации - атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия менять параметры конфигурации (log4j2.configurationFile) или вносить изменения в существующие файлы c настройками для ведения лога... Подробнее: https://www.opennet.me/opennews/art.shtml?num=56428
Ответить \| Правка \| Cообщить модератору

Оглавление

Помнится не так давно была неделя дыр в ebpf Теперь вот log4j, макпыф (ok), 10:21 , 29-Дек-21, (1) +7

Да-да, ещё вот про дуршлаги в Интеле давно не писали, прям странно D , ryoken (ok), 11:22 , 29-Дек-21, (4) +3

миллионы глаз находят дыры даже там, где раньше в упор не видели , Аноним (2), 10:49 , 29-Дек-21, (2)

Миллионы дыр прячутся от миллиона глаз - кто кого , Аноним (3), 11:13 , 29-Дек-21, (3) +3

вечная борьба, как и эволюция, FreeStyler (ok), 11:27 , 29-Дек-21, (5)

Лимит на эволюцию исчерпан, Царь (?), 11:38 , 29-Дек-21, (6) +2

Судя по последним событиям, да И это чудесно , псевдонимус (?), 12:25 , 29-Дек-21, (9)
Но тыплохого не подумай, я люблю господина ПЖ ЗЫ что за беда -- то горшков под , псевдонимус (?), 12:28 , 29-Дек-21, (10)

Миллионам глаз плевать на корпоративную Java , OpenBotNET (ok), 11:41 , 29-Дек-21, (7) +1

А миллионам юзеров нет Потому засуньте свои гляделки обратно в ЛПУ, где они и п, псевдонимус (?), 12:30 , 29-Дек-21, (11)

Значит теперь у кого-то будет миллионный ботнет из этих юзеров, что ж поделать, , Аноним (-), 21:18 , 29-Дек-21, (20)

Самофикс , псевдонимус (?), 12:31 , 29-Дек-21, (12)

Надо обязательно обесклычивать данные прежде чем записывать в лог, Аноним (8), 12:23 , 29-Дек-21, (8)
А вот признайся, мужык - ты ведь сюда не на охоту ходишь , Ведмед (?), 13:15 , 29-Дек-21, (13)
Казалось бы, надо всего лишь - взять строчку и записать ее в файл Ну в крайнем , Винтажный газогенератор (?), 13:21 , 29-Дек-21, (14) +3

Сценариев ведения логов больше одного, это может быть запись в бд, по сети, каст, ms is piese of s (?), 16:11 , 29-Дек-21, (15) –1

Ммм я не знаю насчёт сабжа, но возможность управлять подробностью логов на уровн, Аноним (17), 20:11 , 29-Дек-21, (17)

На уровне загружаемых от любого васяна подключаемых модулей Не, спасибо , Онаним (?), 21:17 , 29-Дек-21, (19) –2

Если Васяну надо, то да, но вообще это уже зависит от Васяна, какую он информаци, Аноним (17), 11:24 , 30-Дек-21, (24)

ЫЫы, в случае log4j внезапно выяснилось, что выбирает, что загрузить, другой вас, Онаним (?), 13:15 , 30-Дек-21, (26)

Бррр, красиво, говоришь В питоне много где джависты нарукожопили со своим ментал, Аноним (-), 00:41 , 30-Дек-21, (21)

Безопасная запись в бд с помощью подготовленных выражений доступна в java из кор, Аноним (8), 12:17 , 30-Дек-21, (25)

Скорее да, чем нет И у таких проектов log4j2 не используется , лютый жабби__ (?), 17:46 , 29-Дек-21, (16)

Извините, я запутался, это которая по счету дырка в этой штуке , Аноним (-), 21:16 , 29-Дек-21, (18)

n 1 я, Онаним (?), 00:46 , 30-Дек-21, (22) +1

Ни дня без новых уязвимостей log4j, Аноним (23), 09:38 , 30-Дек-21, (23)
Вроде и открытые исходники, и миллионы пользователей и всё равно никто не пос, Pilat (ok), 13:34 , 01-Янв-22, (29)

Сообщения [Сортировка по времени | RSS]

1. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +7 +/–

Сообщение от макпыф (ok), 29-Дек-21, 10:21

Помнится не так давно была неделя дыр в ebpf. Теперь вот log4j

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +3 +/–

Сообщение от ryoken (ok), 29-Дек-21, 11:22

Да-да, ещё вот про дуршлаги в Интеле давно не писали, прям странно :D.

Ответить | Правка | Наверх | Cообщить модератору

2. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (2), 29-Дек-21, 10:49

миллионы глаз находят дыры даже там, где раньше в упор не видели.

Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +3 +/–

Сообщение от Аноним (3), 29-Дек-21, 11:13

Миллионы дыр прячутся от миллиона глаз - кто кого?

Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от FreeStyler (ok), 29-Дек-21, 11:27

вечная борьба, как и эволюция

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +2 +/–

Сообщение от Царь (?), 29-Дек-21, 11:38

Лимит на эволюцию исчерпан

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от псевдонимус (?), 29-Дек-21, 12:25

Судя по последним событиям, да. И это чудесно )

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от псевдонимус (?), 29-Дек-21, 12:28

Но тыплохого не подумай, я люблю господина ПЖ!
ЗЫ: что за беда -- то горшков под ёлку навалит, то в новостях вот это все..

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +1 +/–

Сообщение от OpenBotNET (ok), 29-Дек-21, 11:41

Миллионам глаз плевать на корпоративную Java.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от псевдонимус (?), 29-Дек-21, 12:30

А миллионам юзеров нет. Потому засуньте свои гляделки обратно в ЛПУ, где они и прибывали.

Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (-), 29-Дек-21, 21:18

Значит теперь у кого-то будет миллионный ботнет из этих юзеров, что ж поделать, участь у лохов такая. А они будут с невинной мордой вещать - "ой чойта меня везде зобанили и капчи кажут?!"

Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от псевдонимус (?), 29-Дек-21, 12:31

>Жопу
Самофикс.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (8), 29-Дек-21, 12:23

Надо обязательно обесклычивать данные прежде чем записывать в лог

Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Ведмед (?), 29-Дек-21, 13:15

"А вот признайся, мужык - ты ведь сюда не на охоту ходишь?!"

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +3 +/–

Сообщение от Винтажный газогенератор (?), 29-Дек-21, 13:21

Казалось бы, надо всего лишь - взять строчку и записать ее в файл. Ну в крайнем случае по сислогу ее в сеть пульнуть. Но нет, надо накрутить вокруг этого свистоперделок. И вот результат.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" –1 +/–

Сообщение от ms is piese of s (?), 29-Дек-21, 16:11

Сценариев ведения логов больше одного, это может быть запись в бд, по сети, кастомный коннектор и черт в ступе. Естественно, в большинестве случаев такая функциональность избыточна, особенно на локалхосте, но тем не менее, вероятно многие проекты тянут неосознанно или прилетает в зависимостях используют 2-ю версию, когде есть дубовая 1-я версия для простого случая. Не нужно забывать, что есть и по умолчании логер в самой JDK и можно обойтись без лог4ж вообще.

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (17), 29-Дек-21, 20:11

Ммм я не знаю насчёт сабжа, но возможность управлять подробностью логов на уровне подключаемых модулей это красиво. Особенно, на локалхосте. Принтов конечно хватит всем, но вот способность батарейки контролировать многого стоит. Скажем, в питоне с логами всё красиво, насколько я знаю, вдохновлялись именно жабой.

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" –2 +/–

Сообщение от Онаним (?), 29-Дек-21, 21:17

На уровне загружаемых от любого васяна подключаемых модулей?
Не, спасибо.

Ответить | Правка | Наверх | Cообщить модератору

24. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (17), 30-Дек-21, 11:24

Если Васяну надо, то да, но вообще это уже зависит от Васяна, какую он информацию будет выводить, а ты только выбираешь подробность, и куда отправить. Батарейки всё больше от серьёзных организаций и имеют широкое применение в продакшене, так что стандарты на уровне. Это же не жс с его рекламой в логах.

Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Онаним (?), 30-Дек-21, 13:15

ЫЫы, в случае log4j внезапно выяснилось, что выбирает, что загрузить, другой васян :D

Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (-), 30-Дек-21, 00:41

Бррр, красиво, говоришь?
В питоне много где джависты нарукожопили со своим менталитетом.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

25. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (8), 30-Дек-21, 12:17

Безопасная запись в бд с помощью подготовленных выражений доступна в java из коробки.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

16. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от лютый жабби__ (?), 29-Дек-21, 17:46

>Казалось бы, надо всего лишь - взять строчку и записать ее в файл
Скорее да, чем нет. И у таких проектов log4j2 не используется )

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (-), 29-Дек-21, 21:16

Извините, я запутался, это которая по счету дырка в этой штуке?

Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +1 +/–

Сообщение от Онаним (?), 30-Дек-21, 00:46

n+1'я

Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Аноним (23), 30-Дек-21, 09:38

Ни дня без новых уязвимостей log4j

Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости" +/–

Сообщение от Pilat (ok), 01-Янв-22, 13:34

Вроде и открытые исходники, и миллионы пользователей... и всё равно никто не посмотрел в эти исходники.
Всё что требовалось - записать строчку в лог. Записали...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+7 +/–
Сообщение от макпыф (ok), 29-Дек-21, 10:21
Помнится не так давно была неделя дыр в ebpf. Теперь вот log4j
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+3 +/–
	Сообщение от ryoken (ok), 29-Дек-21, 11:22
	Да-да, ещё вот про дуршлаги в Интеле давно не писали, прям странно :D.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
Сообщение от Аноним (2), 29-Дек-21, 10:49
миллионы глаз находят дыры даже там, где раньше в упор не видели.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+3 +/–
	Сообщение от Аноним (3), 29-Дек-21, 11:13
	Миллионы дыр прячутся от миллиона глаз - кто кого?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от FreeStyler (ok), 29-Дек-21, 11:27
	вечная борьба, как и эволюция
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+2 +/–
	Сообщение от Царь (?), 29-Дек-21, 11:38
	Лимит на эволюцию исчерпан
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от псевдонимус (?), 29-Дек-21, 12:25
	Судя по последним событиям, да. И это чудесно )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от псевдонимус (?), 29-Дек-21, 12:28
	Но тыплохого не подумай, я люблю господина ПЖ! ЗЫ: что за беда -- то горшков под ёлку навалит, то в новостях вот это все..
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	7. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+1 +/–
	Сообщение от OpenBotNET (ok), 29-Дек-21, 11:41
	Миллионам глаз плевать на корпоративную Java.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	11. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от псевдонимус (?), 29-Дек-21, 12:30
	А миллионам юзеров нет. Потому засуньте свои гляделки обратно в ЛПУ, где они и прибывали.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от Аноним (-), 29-Дек-21, 21:18
	Значит теперь у кого-то будет миллионный ботнет из этих юзеров, что ж поделать, участь у лохов такая. А они будут с невинной мордой вещать - "ой чойта меня везде зобанили и капчи кажут?!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от псевдонимус (?), 29-Дек-21, 12:31
	>Жопу Самофикс.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

8. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
Сообщение от Аноним (8), 29-Дек-21, 12:23
Надо обязательно обесклычивать данные прежде чем записывать в лог
Ответить \| Правка \| Наверх \| Cообщить модератору

13. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
Сообщение от Ведмед (?), 29-Дек-21, 13:15
"А вот признайся, мужык - ты ведь сюда не на охоту ходишь?!"
Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+3 +/–
Сообщение от Винтажный газогенератор (?), 29-Дек-21, 13:21
Казалось бы, надо всего лишь - взять строчку и записать ее в файл. Ну в крайнем случае по сислогу ее в сеть пульнуть. Но нет, надо накрутить вокруг этого свистоперделок. И вот результат.
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	–1 +/–
	Сообщение от ms is piese of s (?), 29-Дек-21, 16:11
	Сценариев ведения логов больше одного, это может быть запись в бд, по сети, кастомный коннектор и черт в ступе. Естественно, в большинестве случаев такая функциональность избыточна, особенно на локалхосте, но тем не менее, вероятно многие проекты тянут неосознанно или прилетает в зависимостях используют 2-ю версию, когде есть дубовая 1-я версия для простого случая. Не нужно забывать, что есть и по умолчании логер в самой JDK и можно обойтись без лог4ж вообще.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от Аноним (17), 29-Дек-21, 20:11
	Ммм я не знаю насчёт сабжа, но возможность управлять подробностью логов на уровне подключаемых модулей это красиво. Особенно, на локалхосте. Принтов конечно хватит всем, но вот способность батарейки контролировать многого стоит. Скажем, в питоне с логами всё красиво, насколько я знаю, вдохновлялись именно жабой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	–2 +/–
	Сообщение от Онаним (?), 29-Дек-21, 21:17
	На уровне загружаемых от любого васяна подключаемых модулей? Не, спасибо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от Аноним (17), 30-Дек-21, 11:24
	Если Васяну надо, то да, но вообще это уже зависит от Васяна, какую он информацию будет выводить, а ты только выбираешь подробность, и куда отправить. Батарейки всё больше от серьёзных организаций и имеют широкое применение в продакшене, так что стандарты на уровне. Это же не жс с его рекламой в логах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от Онаним (?), 30-Дек-21, 13:15
	ЫЫы, в случае log4j внезапно выяснилось, что выбирает, что загрузить, другой васян :D
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от Аноним (-), 30-Дек-21, 00:41
	Бррр, красиво, говоришь? В питоне много где джависты нарукожопили со своим менталитетом.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	25. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от Аноним (8), 30-Дек-21, 12:17
	Безопасная запись в бд с помощью подготовленных выражений доступна в java из коробки.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	16. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
	Сообщение от лютый жабби__ (?), 29-Дек-21, 17:46
	>Казалось бы, надо всего лишь - взять строчку и записать ее в файл Скорее да, чем нет. И у таких проектов log4j2 не используется )
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору

18. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
Сообщение от Аноним (-), 29-Дек-21, 21:16
Извините, я запутался, это которая по счету дырка в этой штуке?
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+1 +/–
	Сообщение от Онаним (?), 30-Дек-21, 00:46
	n+1'я
	Ответить \| Правка \| Наверх \| Cообщить модератору

23. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
Сообщение от Аноним (23), 30-Дек-21, 09:38
Ни дня без новых уязвимостей log4j
Ответить \| Правка \| Наверх \| Cообщить модератору

29. "Обновление Log4j 2.17.1 с устранением ещё одной уязвимости"	+/–
Сообщение от Pilat (ok), 01-Янв-22, 13:34
Вроде и открытые исходники, и миллионы пользователей... и всё равно никто не посмотрел в эти исходники. Всё что требовалось - записать строчку в лог. Записали...
Ответить \| Правка \| Наверх \| Cообщить модератору