Ну, короче, овердофига где - 2.7.2 стоит и стоять будет.
У себя, слава слонопотаму, я летом еще скандал устроил на тему "в куда оно ходит и для зачем ваша техподдержка требует, чтобы туда ходило", после чего все отрублено к чертям.
Я в упор не понимаю, как можно было сделать эту дырку. Вроде, язык Java специально проектировался так, чтобы ни непреднамеренного обращения на какой-то сервер, ни т.б. непреднамеренного выполнения программного кода там не было в принципе.
"чтобы ни непреднамеренного обращения на какой-то сервер"
И в результате оно НЕПРЕРЫВНО грузит шрифты с гугля, во всю ширину канала, и долбится на всё подряд от каких-то unpk .org до авито. Потому что туда тупо накопипащены куски с гитхабов.
Хотя, можно ли считать ЭТО непреднамеренным, или как раз вовсе даже преднамеренным - вопрос интересный.
Ну все-таки не почти все. logback давно уже впереди, как мне кажется. Но хороший прикол, да.
Это не в первый раз, когда в яве, где явное отделение памяти кода от памяти данных, находят такую дырку, специфичную для какого-нибудь си. В Apache Commons Collections добрые разработчики сделали десериализатор, позволяющий не только воссоздать объект из байтиков, но и выполнить в нем метод. А добрые разработчики всяких веблоджиков и прочего кровавого энтерпрайза по умолчанию готовы принимать и десериализовывать любые объекты. Проще говоря, уязвимость была абсолютно в каждой энтерпрайзной ява-системе. Помню, и у себя тоже чинили. https://donz-ru.livejournal.com/233240.html - вот.
Для тех, кто обновиться по какой-то причине не может, альтернативой является сканирование всех ява-систем на значение этого параметра, и если он true, то скриптом выставлять его в false
Подстава в том, что не всегда этот параметр можно выставить "снаружи". Если какой-нибудь Spring Boot, то да, там "-Dlog4j2.formatMsgNoLookups=true" канает. А вот если нет... оно изнутри самого кода должно выставляться.
Comments 11
А низзя! Несертифицировано! И нет в фап-ФАПе!
Reply
Reply
У себя, слава слонопотаму, я летом еще скандал устроил на тему "в куда оно ходит и для зачем ваша техподдержка требует, чтобы туда ходило", после чего все отрублено к чертям.
Reply
Reply
И в результате оно НЕПРЕРЫВНО грузит шрифты с гугля, во всю ширину канала, и долбится на всё подряд от каких-то unpk .org до авито. Потому что туда тупо накопипащены куски с гитхабов.
Хотя, можно ли считать ЭТО непреднамеренным, или как раз вовсе даже преднамеренным - вопрос интересный.
Reply
Но хороший прикол, да.
Это не в первый раз, когда в яве, где явное отделение памяти кода от памяти данных, находят такую дырку, специфичную для какого-нибудь си. В Apache Commons Collections добрые разработчики сделали десериализатор, позволяющий не только воссоздать объект из байтиков, но и выполнить в нем метод. А добрые разработчики всяких веблоджиков и прочего кровавого энтерпрайза по умолчанию готовы принимать и десериализовывать любые объекты. Проще говоря, уязвимость была абсолютно в каждой энтерпрайзной ява-системе. Помню, и у себя тоже чинили.
https://donz-ru.livejournal.com/233240.html - вот.
Reply
Reply
Reply
Reply
https://www.bleepingcomputer.com/news/security/researchers-release-vaccine-for-critical-log4shell-vulnerability/
Reply
Reply
Leave a comment