Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Проблема позволяет организовать удалённое выполнение кода, но помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации - атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия менять параметры конфигурации (log4j2.configurationFile) или вносить изменения в существующие файлы c настройками для ведения лога...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56428
Помнится не так давно была неделя дыр в ebpf. Теперь вот log4j
Да-да, ещё вот про дуршлаги в Интеле давно не писали, прям странно :D.
миллионы глаз находят дыры даже там, где раньше в упор не видели.
Миллионы дыр прячутся от миллиона глаз - кто кого?
вечная борьба, как и эволюция
Лимит на эволюцию исчерпан
Судя по последним событиям, да. И это чудесно )
Но тыплохого не подумай, я люблю господина ПЖ!ЗЫ: что за беда -- то горшков под ёлку навалит, то в новостях вот это все..
Миллионам глаз плевать на корпоративную Java.
А миллионам юзеров нет. Потому засуньте свои гляделки обратно в ЛПУ, где они и прибывали.
Значит теперь у кого-то будет миллионный ботнет из этих юзеров, что ж поделать, участь у лохов такая. А они будут с невинной мордой вещать - "ой чойта меня везде зобанили и капчи кажут?!"
>ЖопуСамофикс.
Надо обязательно обесклычивать данные прежде чем записывать в лог
"А вот признайся, мужык - ты ведь сюда не на охоту ходишь?!"
Казалось бы, надо всего лишь - взять строчку и записать ее в файл. Ну в крайнем случае по сислогу ее в сеть пульнуть. Но нет, надо накрутить вокруг этого свистоперделок. И вот результат.
Сценариев ведения логов больше одного, это может быть запись в бд, по сети, кастомный коннектор и черт в ступе. Естественно, в большинестве случаев такая функциональность избыточна, особенно на локалхосте, но тем не менее, вероятно многие проекты тянут неосознанно или прилетает в зависимостях используют 2-ю версию, когде есть дубовая 1-я версия для простого случая. Не нужно забывать, что есть и по умолчании логер в самой JDK и можно обойтись без лог4ж вообще.
Ммм я не знаю насчёт сабжа, но возможность управлять подробностью логов на уровне подключаемых модулей это красиво. Особенно, на локалхосте. Принтов конечно хватит всем, но вот способность батарейки контролировать многого стоит. Скажем, в питоне с логами всё красиво, насколько я знаю, вдохновлялись именно жабой.
На уровне загружаемых от любого васяна подключаемых модулей?
Не, спасибо.
Если Васяну надо, то да, но вообще это уже зависит от Васяна, какую он информацию будет выводить, а ты только выбираешь подробность, и куда отправить. Батарейки всё больше от серьёзных организаций и имеют широкое применение в продакшене, так что стандарты на уровне. Это же не жс с его рекламой в логах.
ЫЫы, в случае log4j внезапно выяснилось, что выбирает, что загрузить, другой васян :D
Бррр, красиво, говоришь?
В питоне много где джависты нарукожопили со своим менталитетом.
Безопасная запись в бд с помощью подготовленных выражений доступна в java из коробки.
>Казалось бы, надо всего лишь - взять строчку и записать ее в файлСкорее да, чем нет. И у таких проектов log4j2 не используется )
Извините, я запутался, это которая по счету дырка в этой штуке?
n+1'я
Ни дня без новых уязвимостей log4j
Вроде и открытые исходники, и миллионы пользователей... и всё равно никто не посмотрел в эти исходники.
Всё что требовалось - записать строчку в лог. Записали...