Comments 17
У «половины интернета» нашли выполнение произвольного кода через
Через что? Видимо, сохраняете интригу? [0]
А где в статье доказательства громкого заголовка?
Что такое "половина интернета"?
Где ссылки на исследования? Мало ли, что уязвимо, это не значит, что вредоносный код уже прямо сейчас исполняется на всех серверах майнкрафта.
UPD 0:
[0] заголовок был обновлён
Сори. Исправил заголовок.
Примеры по ссылки в статье. Там и CloudFlare, и Apple, и Amazon, и Steem с Твитером.
Этот вредоносный код имеется не только на всех серверах майнкрафта, а имеется и во всех клиентах майнкрафта, выпущенных до вчерашних обновлений. Вчера все майнкрафт-сообщество пыхтело над тем, чтобы убрать эту уязвимость, в частности сообщества серверов Bukkit/Spigot/Paper/Mohist, сообщества Fabric/Forge/Optifine, даже сами Mojang отработали ночную смену, чтобы как можно быстрее пофиксить это в версии 1.18.1, и как можно быстрее пропатчить все 1.12+ версии. К слову, игрокам пиратских клиентов на данный момент я бы посоветовал воздержаться от игры в майнкрафт на публичных серверах вообще, потому что данный эксплоит уже во всю пошёл в ход, а как быстро авторы пиратских лаунчеров обновят свои jar до пропатченных – большой вопрос.
Это для случая когда кто-то написал log.debug(myStringVariable)
или log.debug("myStringVariable = {}", myStringVariable)
тоже под угрозой?
Версия 2.15.0 выпущена сегодня с полноценным фиксом - https://lists.apache.org/thread/bfnl1stql187jytr0t5k0hv0go6b76g4
Странно, что такая важная новость и так мало внимания.
Log4j используется большинством Java-приложений. Это логирование, то есть оно может бахнуть в любом месте, где логируются пользовательские данные, не важно как они попадают в сервис.
Выпущенный фикс не отменяет того, что десятки тысяч сервисов необходимо пересобрать и передеплоить. Мне кажется, этим будут заняты сотни организаций по всему миру в ближайшие пару месяцев.
Вспоминается та недавняя уявзимость в imagemagick. Тоже ходило в интернет куда скажут.
Почему в мануалах ещё в отдельном разделе выделенном большими красными буквами не предупреждают, что программа/библиотека будет сама лазать куда-то в интернет в таких-то и таких-то случаях?
Донесите эту идею до сообщества, пожалуйста.
У нас настолько старый софт, что он просто неуязвим :) Все еще версия 1.х используется. Да и опять же слава богу без доступа к интернету. Потому проще.
Интересно, докер-контейнеры в этом случае помогут? Что там можно такого натворить? Тем более если приложение работает с правами непривилигированного пользователя?
ЁПРСТ, но как, КАК? Кому вообще могло прийти в голову парсить вставляемые данные в поисках log4j-разметки? Почему нельзя было парсить только ту разметку, что пришла из конфига?
Т.е. тем, у кого нет Java на сервере, опасаться в рамках этой уязвимости нечего. Я правильно понимаю?
Как можно просканировать сервера на наличие этой библиотеки? А лучше в формате есть/нет библиотека, уязвима/пофикшена? Интересуют виндовые сервера. Уже требуют все свои ~1000 серверов прочекать... Проблема в том, что на каждом сервере софта, использующего такие библиотеки, может быть много, было бы проще найти специфичные файлы, или версии исполняемых файлов и специфичное содержимое конфигов.
Должно быть кто-то написал скриптик уже. Вот не хочется велосипед изобретать.
Новая Zero-day уязвимость позволяет выполнение произвольного кода через журнал логирования log4j