URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 132327
[ Назад ]
Исходное сообщение
"Треть Java-проектов на базе библиотеки Log4j продолжают использовать уязвимые версии"
Отправлено opennews , 14-Дек-23 14:59 
Компания Veracode опубликовала результаты исследования актуальности критических уязвимостей в Java-библиотеке Log4j, выявленных в прошлом и позапрошлом годах. Изучив 38278 приложений, используемых в 3866 организациях, исследователи из Veracode обнаружили, что  38% из них  используют уязвимые версии Log4j. Основной причиной продолжения применения устаревшего кода является встраивание в проекты старых библиотек  или трудоёмкость миграции с уже неподдерживаемых веток на новые ветки, в которых нарушена обратная совместимость (судя по прошлому отчёту Veracode,  79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60287

Содержание
Сообщения в этом обсуждении
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 14:59 
Не работает не трожь.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 15:28 
А если работает плохо?
Описанные уязвимости могут и хорошим боком вылезти.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено pfg21 , 14-Дек-23 15:58 
если косяк не выявлен - значит он не мешает и все работает :) классика жанра.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено FF , 14-Дек-23 15:16 
Это суровый энтерпрайз и не только, а не "Hello, I'm SPA over Nodejs. I will fill your ass by updates for all my litle modules..."
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено RarogCmex2 , 14-Дек-23 15:58 
Если суровый энтерпрайз означает то, что тебя взломают из-за луддизма, то в гробу я эту суровость видел.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено pfg21 , 14-Дек-23 16:00 
суровый кровавый энтерпрайз очень не любит обновлений.  
доказано практикой.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено User , 15-Дек-23 09:10 
Угу. И не то, чтобы совсем зря. Поломают или там не поломают какую осенно-важную отчетилку за-тремя-файрволлами-в-двух-vlan'ах-от-тебя - это пускай вот у тех вот из СБ голова болит, а то, что гм, ногокрылые со своим новым-лудшим-обновлением разэтасамят примерно все, от форматов данных до математики и UI\UX - к гадалке не ходи. А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено aim , 19-Дек-23 16:08 
> А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...

как правило это всё упирается "ой, а мы что-то зарелизили 10 лет назад, васян нам в виде бинарей принёс, а где исходники знает только пред-пред-пред-пред-предыдущий владелец проекта"

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено User , 19-Дек-23 18:50 
>> А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...
> как правило это всё упирается "ой, а мы что-то зарелизили 10 лет
> назад, васян нам в виде бинарей принёс, а где исходники знает
> только пред-пред-пред-пред-предыдущий владелец проекта"

Это если проект был - а то и вовсе "библиотека-на-delphi" замнчальника АСУ ТП 10 лет назад для себя написал )))

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Вирт , 14-Дек-23 19:32 
По крайней мере часть уязвимостей выглядит несерьезными:

https://security-tracker.debian.org/tracker/CVE-2022-23302
> when the attacker has write access to the Log4j configuration

То есть у атакующего должны быть права админа.
А если у него есть права админа, то нафига ему log4j.

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Бывалый смузихлёб , 15-Дек-23 06:42 
угу. Либу обновил - ынтыпрайс, неведомым чудом работавший, хотя кое-как подпёртый со всех стором уймой палок и гомна - упал
Пока неделю чинил - контора стояла. Вроде починил, но что-то не работает. Починил - другой костыль отвалился
Будь добр занести пачку лимонов в виде компенсации ущерба за простой и пойти нахрен ибо уволен по статье
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено zog , 15-Дек-23 22:26 
Обновил log4j и твой вдыртынпрайз упал лишь поэтому? Этот как же криво у вас там всё написано?
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 18-Дек-23 14:22 
У сурового ынтерпрайза нет денех на тестовый стенд?
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 16:25 
Интересно, нельзя было выпустить патч версии минорных веток? Что-то типа 2.14.1.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено ИмяХ , 14-Дек-23 16:36 
Если б это кому-то нужно было, давно бы сделали.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 16:40 
Когда писал на Java ещё до времён Андроида - удивила любовь к исползованию этой библиотеки. Причем просто логировагие дебажного вывода. Вот и итог...
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 15-Дек-23 01:35 
А почему перестал писать?
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Бывалый смузихлёб , 15-Дек-23 06:43 
>> Когда писал на Java

Потому что уже давно есть котлин ?

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 17:53 
Однажды у меня на сервере в Hetzner исчезла целая папка с Java runtime. С тех пор я поумнел.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 19:22 
Ничего скоро в январе у РФ аккаунтов все файлы на хетзнере пропадут.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Ivan_83 , 14-Дек-23 19:13 
Два года и мир не рухнул.
И ни одного растомана в новости, с предложением срочно переписать на безоасную гниль с небезопасной джавы.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 19:20 
Откуда ты знаешь просто их мониторят хакеры по полной и всё.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Ivan_83 , 14-Дек-23 19:32 
Никто ничего не мониторит, не надо себя успокаивать.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 14-Дек-23 20:41 
А может тебя мониторят хакеры по полной.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Бывалый смузихлёб , 15-Дек-23 06:44 
с аноном на пару смотрят его прон и рассматривают фотки кота ?
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Вы забыли заполнить поле Name , 14-Дек-23 21:25 
> И ни одного растомана в новости

Им некогда: они волосы перекрашивают и пол меняют.

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 15-Дек-23 00:43 
Как в древней рекламе: " - Вы всё ещё кипятите? Тогда мы идем к вам!"
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 15-Дек-23 06:20 
Открою страшную тайну там где корпорации, так всем насрать какая там версия log4j там в принципе никому не инетерсно какое решение и на чем оно работает. Пока оно не принесло убытки в миллионы там репу или что они там чешут не почешут... Исключение наверное только крупные банки, там да иногда следят за безопстностю...
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено лютый арчешкольник... , 15-Дек-23 17:34 
>Открою страшную тайну там где корпорации,

ты звиздишь... в системообразующих конторах постоянно покупают аудиты и пентесты. другая проблема, что обновить все 100500 зоопарков одним днем не выйдет.

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Аноним , 17-Дек-23 08:55 
> в системообразующих конторах постоянно покупают аудиты и пентесты

в остальном мире всем насрать это факт подтвержденный опытом более чем 25 лет...

в зазаборье мне неизвестно, так как уровень ИТ продуктов кране секретен и редко кому вообще неизвестен в условиях этакой редкостной секретности, а как следствие и ломать его крайне сложно.

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Golangdev , 15-Дек-23 09:51 
И ниодна ж падла, кто торгует безопасностью, не напишет, что с помощью этой уязвимости можно реально что-то сделать.

Пруфы в студию, сколько проектов взломали через эту уязвимость ?

"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено Bottle , 15-Дек-23 18:37 
Minecraft - игра с миллионами игроков, как на лицензионных, так и на пиратских серверах.
Уязвимость Log4J вкупе с "интересно" написанным кодом Minecraft'а привела к тому, что для произвольного исполнения кода нужно было всего лишь написать специально оформленный текст в чат.
"Треть Java-проектов на базе библиотеки Log4j продолжают испо..."
Отправлено banonymous , 15-Дек-23 13:38 
Данная уязвимость воспроизводится только при использовании log4j с форматированием логов через PatternLayout.
Если вы используете другой, например json формат, то проблемы нет даже с уязвимой версией.