forum.opennet.ru

"Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%..."	+/–
Сообщение от Наме (?), 21-Дек-21, 10:17
Может быть, но по-моему, не меняется он легко в проекте, которому лет дцать, и у которого за это время группа разработки менялась сто раз. Это адский гемор. В любом "пакетном менеджере" )))) Это в каком же? Везде maven. Вы знаете ещё какие-то? У шибко продвинутых bnd. Где-то в пыли gradle и ant.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов, opennews, 18-Дек-21, 23:43 [смотреть все]

Те, у кого по какой-то причине до сих пор нигде нет жавы во все щели, выдохнули , Аноним, 18-Дек-21, 23:43 (1) //
- По апач продуктам вообще не страдаю, не пользуюсь совсем , Аноним, 19-Дек-21, 03:45 (21) //
  - Apache Kafka смеётся тебе в лицо , Аноним, 19-Дек-21, 14:17 (54) //
    - Есть redpanda, Аноним, 19-Дек-21, 14:25 (55)
      - Только у тебя А у нас в далеко не мелкой конторе -- кафка , Брат Анон, 19-Дек-21, 18:32 (60)
        
        Снимем шляпу, помянем , Заноним, 19-Дек-21, 21:56 (66)
        А log4j у вас есть Большому кораблю - большую торпеду , Аноним, 24-Дек-21, 08:03 (120)
    - Что за хрень и почему её у меня ещё нет , Аноним, 19-Дек-21, 20:19 (61)
- Угу Пара аппликух есть, но всё Not Affected, судя по приведённому листу, да и в, Онаним, 19-Дек-21, 07:07 (26)
- У меня Ignition, правда он всё равно только через ssh доступен , commiethebeastie, 19-Дек-21, 10:04 (34)
- Да успокойтесь Не все используют log4j2, и не всех оно касается даже из тех, кт, Аноним, 19-Дек-21, 10:49 (39) //
  - У меня нет дыры, у меня нет дыры , - это такая новая молитва, что ли , Аноним, 19-Дек-21, 20:25 (62) //
    - Нет Здравый расчёт и понимание архитектуры своих приложений и используемых ими , Аноним, 20-Дек-21, 17:36 (94)
- - - -j , жорик, 21-Дек-21, 23:02 (114)
- code - - -j code , жорик, 21-Дек-21, 23:02 (115)
Ну логично, в принципе После нахождения уязвимости каждый старается по максимум, zloykakpes, 18-Дек-21, 23:46 (2) //
- Спекулятивное выполнение уже стало пуленепробиваемым после всей той истори , Аноним, 19-Дек-21, 00:23 (5)
- Fixed, Онаним, 19-Дек-21, 09:48 (31)
- Или все плюнут на неё и просто будут использовать другой логгер Благо, переходн, Аноним, 19-Дек-21, 10:50 (40) //
  - Отлично, а они эти чудные выражовывания реализуют И если да, то они это секурно, Аноним, 24-Дек-21, 08:04 (121)
- У log4j архитектор умственно отсталый, как и персонажи прикатывающие этот хлам с, all_glory_to_the_hypnotoad, 19-Дек-21, 13:33 (52) //
  - покажи свой неумственноотсталый log4j , Аноним, 19-Дек-21, 17:01 (58) //
    - Сначала добейся с , Аноним, 19-Дек-21, 20:41 (64)
    - Потому что нужно стараться делать в рамках кодовой базы SE или ЕЕ, а не тянуть в, Наме, 20-Дек-21, 11:31 (78)
    - syslog, слушает 514 udp, если rsyslog, то еще и tcp можно настроить, для гаранти, andy, 20-Дек-21, 21:03 (99)
Астрологи объявили неделю уязвимостей Log4j, Аноним, 18-Дек-21, 23:55 (3) //
- астрологи из DARPA наверное, x3who, 19-Дек-21, 00:22 (4)
Хороший однако ящик Пандоры открыли в этом году, Аноним, 19-Дек-21, 00:31 (6) //
- Кто сказал, что им не пользовались в предыдущих годах , Аноним, 19-Дек-21, 00:41 (9) //
  - Ну так открыли то в этом, Аноним, 19-Дек-21, 04:36 (24) //
    - Так сказать, уведомили, что давно вертели вас на , Аноним, 19-Дек-21, 08:15 (28)
- Майки выкатили кор 6, им нужно потолкаться на уже сложившемся рынке Вот и откр, Наме, 20-Дек-21, 11:33 (80) //
  - Как консервы могут протухнуть Они же закрыты от внешней среды, Аноним, 21-Дек-21, 13:39 (110)
С нормальными политиками fw исходящего траффика с продакшена риски можно заметно, Аноним, 19-Дек-21, 00:39 (7) //
- Почти всегда DNS-трафик разрешен, т к нужен Пихаешь данные в base64 и отправля, Аноним, 19-Дек-21, 11:41 (47) //
  - Правильно настроенный fw не ограничивается tcp udp портами in out Все пихания да, Аноним, 19-Дек-21, 15:09 (57)
  - JNDI-запрос это не DNS-запрос , Наме, 20-Дек-21, 11:34 (81) //
    - - если в качестве реестра не используется DNS-сервер, что возможно Выпендрился , MVK, 20-Дек-21, 13:01 (87)
а что это за Log4j , Аноним, 19-Дек-21, 00:57 (10) //
- Log4j 8212 сторонняя библиотека логирования В самой Java JRE JDK есть собств, iZEN, 19-Дек-21, 01:30 (12) //
  - Спринг использует логфоджи в зависимостях , Наме, 20-Дек-21, 12:41 (86) //
    - Сам Спринг spring-core зависит от JCL, а в Spring Boot spring-boot-starter-lo, Аноним, 20-Дек-21, 19:33 (96)
- Библиотека для троянов Это надо же наумиться надо было разыменовывать внешние с, Аноним, 19-Дек-21, 03:47 (22)
- Leftpad, A.N. Onimous, 26-Дек-21, 22:38 (123)
Нужно валидировать данные которые записываешь в лог А ещё нужно делать обесклычи, Аноним, 19-Дек-21, 01:24 (11) //
- Давным-давно в телеграммах писали так приеду завтра зпт встречайте тчк Это т, Аноним, 19-Дек-21, 03:49 (23) //
  - Тчк зпт использовалось не потому что программисты индусы и не хотят записи в лог, Аноним, 21-Дек-21, 14:25 (111)
- И какая там валидация должна быть Нужно было код библиотеки прочитать и понять,, Аноним, 20-Дек-21, 03:41 (68)
Сглаживает Это как бы основная версия жавы в продакшене В жаве 9 сломали обр, Wilem82, 19-Дек-21, 02:14 (14) //
- кто в трезвом уме и здравой памяти будет переводить прод на java 9 , Тинус Лорвальдс, 19-Дек-21, 02:28 (15) //
  - Её поддержка уже один раз чуть не закончилась Но она таки когда-нибудь закончит, Wilem82, 19-Дек-21, 02:38 (16) //
    - с каких пор поддержка джавы 9 не закончилась она закончилась с выходом джавы 10, Тинус Лорвальдс, 22-Дек-21, 18:39 (119)
- Ни разу не было проблем с миграцией на LTS На Java 11 все отлично мигрируется , Аноним, 19-Дек-21, 02:40 (17) //
  - Что такое отлично Это когда ничего делать не надо, просто заменяешь 8 на 11 и, Wilem82, 19-Дек-21, 02:51 (18) //
    - Отлично от миграции с 2 на 3 питон проекта сложнее Hello World , Вася, 19-Дек-21, 03:01 (19)
    - Мы уже на Java 17 перешли, но нам проще, поскольку проект новый А вы активно ис, zog, 19-Дек-21, 09:14 (30)
      - При чём тут мы Этим всем пользуются популярные библиотеки Перестают они этим, Wilem82, 19-Дек-21, 15:08 (56)
        
        Можете привести пример таких экзотических библиотек Что-то мне ни разу такие не, Аноним, 20-Дек-21, 13:18 (90)
        
        Экзотические библиотеки с обратной несовместимостью при смене мажорной версии ht, Wilem82, 22-Дек-21, 17:58 (118)
    - Там всего несколько мест на самом деле которые поменялись и могут сломать систем, Аноним, 20-Дек-21, 13:15 (89)
  - Да-да-да Эталонные JEE работают только на 8-ке , Наме, 20-Дек-21, 11:36 (82) //
    - - это Вы книге какого года издания прочли , MVK, 20-Дек-21, 13:05 (88)
      - Пятая Рыба работает стабильно только на 8-ке Для этого и книг никаких не надо , Наме, 20-Дек-21, 15:36 (93)
        
        - дружище, зачем пятая то Eclipse GlassFish 6 2 3 - вышел в ноябре и с версии 6, MVK, 20-Дек-21, 20:47 (98)
        GlassFish был эталоном 10 лет назад на сановских наработках Но зачем его сейчас, Аноним, 20-Дек-21, 23:15 (103)
        
        Рыбы как были эталонной реализацией, так ею и остаются 6-тая ветка пока не стан, Наме, 21-Дек-21, 10:08 (106)
        
        - брехня какая то jakarta ee compatibility tab-9И 6й GlassFish и WildFly 23 пр, MVK, 21-Дек-21, 11:31 (109)
        А при чём здесь Spring В Spring Boot по-умолчанию log4j не используется А вот , Аноним, 22-Дек-21, 11:17 (116)
Растаманы, где вы Как это починить самым безопасным языком в мире , Аноним, 19-Дек-21, 03:43 (20) //
- У растоманов шаблоны падают на этапе копиляции, а не в продакшене , Cucumber, 19-Дек-21, 06:43 (25) //
  - Потому-то они ничего написать не могут , Аноним, 19-Дек-21, 08:13 (27)
  - У растоманов логи с продакшена собираются на этапе компиляции , Andrey, 19-Дек-21, 08:24 (29)
- Няша, ты ещё регулярные выражения не видел А как увидишь, сразу седым станешь , Аноним, 19-Дек-21, 09:55 (32) //
  - И в регулярных выражениях тоже могут быть зацикливания, Аноним, 19-Дек-21, 09:57 (33)
  - aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa p s это не то что вы подумали, это , Аноним, 24-Дек-21, 08:05 (122)
- И вам доброго утречка, Евгений Ваганович , Прохожий, 19-Дек-21, 10:39 (38)
кто может толково объяснить почему этот log4j все пытаются патчить, а не заменя, Аноним, 19-Дек-21, 10:16 (35) //
- Потому что пропатчить дешевле, чем заменить Ваш Кэп , Прохожий, 19-Дек-21, 10:37 (37) //
  - пока не получается - всё новые и новые дыры получаются , Аноним, 19-Дек-21, 10:53 (41)
  - По десять раз накатывать это шерето и оно до сих пор уязвимо Там уже украли всю, Аноним, 19-Дек-21, 11:38 (45)
- Потому что не в курсе, что есть адаптеры на другие логгеры - http logback qos , Аноним, 19-Дек-21, 10:53 (42)
- Да, я могу объяснить 1 Я сомневаюсь, что _все_ пытаются патчить, _вместо_ того,, Ordu, 20-Дек-21, 01:22 (67) //
  - А, может, надо не переползать, а бежать Тогда быстрее будет Были времена, когд, Аноним, 20-Дек-21, 08:17 (72) //
    - Тебе нужна стабильность или скорость Тут ситуация такая, что чем быстрее бежишь, Ordu, 20-Дек-21, 10:37 (77)
      - Хорошее ПО это прежде всего про деньги, а не про думающих программистов Про оче, Наме, 21-Дек-21, 10:35 (108)
- Причина простая Увы, большинство крупных проектов на Жабе, мягко скажем, крайне, Наме, 20-Дек-21, 11:42 (83) //
  - В любом более-менее современном пакетном менеджере для Java очень легко вырезать, Аноним, 20-Дек-21, 23:19 (104) //
    - Может быть, но по-моему, не меняется он легко в проекте, которому лет дцать, и у , Наме, 21-Дек-21, 10:17 (107)
      - gradle, maven, sbt, ivy, Откройте maven search и посмотрите - https search, Аноним, 21-Дек-21, 19:11 (112)
        
        exclusions exclusion -- declare the exclusion here -- , iZEN, 21-Дек-21, 19:18 (113)
        
        configurations all exclude group log4j , module log4j PS нравится XML, Аноним, 22-Дек-21, 11:21 (117)
- - -j , Аноним, 19-Дек-21, 13:19 (49) //
- толстый троллинг, Аноним, 19-Дек-21, 13:28 (51)
- cat test test test 124 perl -e s s s s - - 124 , Аноним, 19-Дек-21, 20:30 (63) //
  - 124 124 124 124 124 124 124 124 124 124 , xrensgory, 19-Дек-21, 21:14 (65)
Вот это и есть opensource эффект миллиона глаз В популярном пакете нашлась дыра, pda, 19-Дек-21, 18:05 (59) //
- что-то из серии Как за дешево провести аудит безопасности , Аноним, 20-Дек-21, 07:45 (69)
Кто конкретно внёс указанную уязвимость С современными системами контроля верси, Аноним, 20-Дек-21, 08:11 (70) //
- Ты даже и MS не привлечёшь, таков путь , Аноним, 20-Дек-21, 08:13 (71)
- А почему ты обходишь такой вопрос что ты можешь сам поиском найти коммиты и во в, Аноним, 20-Дек-21, 10:04 (75)
Похоже я узнал о существовании чего-то о чём мне не стоило знать , Аноньимъ, 20-Дек-21, 08:20 (73) //
- Да факт существования такой защиты это секрет Не стоит вскрывать эту тему Ты м, Аноним, 20-Дек-21, 10:07 (76)
- глубина рекурсии, Sw00p aka Jerom, 20-Дек-21, 11:32 (79)
Наверное еще и логи бинарные у этого говна , Аноним, 20-Дек-21, 09:06 (74) //
- Бинарные Это ущемляет интересы меньшинств , Аноним, 20-Дек-21, 11:51 (84)
- Как не стыдно такое говорить Логов - множество разновидностей гомонарные, лезб, Аноним, 21-Дек-21, 00:56 (105)
Жаба уже никогда не будет прежней, Аноним12345, 20-Дек-21, 12:40 (85)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру