Új hozzászólás Aktív témák
-
floatr
veterán
"When exactly is the vulnerability exploitable?
All of the following conditions must apply in order for a specific Java application to be vulnerable:
- The Java application uses log4j (Maven package log4j-core) version 2.0.0-2.14.1
- A remote attacker can cause arbitrary strings to be logged, via one of the logging APIs – logger.info(), logger.debug(), logger.error(), logger.fatal(), logger.log(), logger.trace(), logger.warn().
- (on some machines) The Java JRE / JDK version in use is older than the following versions: 6u211, 7u201, 8u191, 11.0.1"Most ez az "on some machines" misztikus, de frissebb verziók esetén ki van kapcsolva a jndi lookup alapból
-
floatr
veterán
-
Egyszerűen csak arról van szó, hogy a Java nagyjából a legnépszerűbb nyelv (enterprise környezetben mindenképp), szóval rengetegen dolgoznak azon, hogy lyukakat találjanak benne. Továbbá számtalan 3rd party lib van, ami potenciális veszélyforrás. Speciel ez a sebezhetőség sem Java hiba.
-
Mint mondtam, dolgoztam ilyen helyen (nem bankban, hanem nagyobb cégnél szerveradminként, ahol voltak ilyen folyamatok - és compliance is - iszonyatos idióta követelményekkel, és kb. arra volt jó, hogy lassítsa a reakciót).
"Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja"
Nekünk 20+ ezer soros szerverlista volt
"K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van."
Ja, az ilyesmit borzalmasan leválasztani, de azért ez kilóg negatív irányba.Szóval nem kifogás, 2 év alatt ahol szándék van, ott végig lehet vinni egy Java updatet. Én is tapasztalatból beszélek.
@floatr : A Java általában véve lyukas.
-
floatr
veterán
-
ddekany
nagyúr
Ezt a címet át kéne sürgősen írni... Ez egy Log4j sebezhetőség. Az Apache egy alapítvány, aminél rengeteg project fut, és nem az alapítvány alkalmazza fejlesztőket, meg úgy általában nagyon kevés központi kontroll van a projektek vezetése felett. Totálisan unfair az Apache-t feketíteni ezekkel. Kb. infrastruktúrát és jogi keretet adnak a projektekhez.
-
strogov
senior tag
Egy bankban nem úgy megy az upgrade, hogy éjszaka kitalálod, reggel telepíted. Megfelelési folyamat van amit be kell tartani. Nyilván célszerűen a kintről látható rendszereiket naprakészen tarthatják, de simán benne van, hogy egy elkallódott rendszer ott van valahol.
Nem írok nevet (multi). Amikor rendszerlistát kértünk akkor csak az IT 3 nyilvántartóból hozta össze a 400+ működő, karbantartott rendszer nevét, és kaptunk egy excel-t is, hogy valójában ezek használjak (~150).
Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja ... és nagyon sok melójuk volt.K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van.
-
Azokkal nincs is olyan nagy gond. De ami kintről elérhető, azt muszáj patchelni, mert ezen kívül is durva hibák lehetnek...
Voltam szerveradmin, a legtöbb "nem ennyire egszerű" eset adminisztratív nehézség volt
(Akár az is, hogy nem aakrják megvenni az újabb verziót, inkább az admint szívatják, hogy oldja meg compliantre azt az outdated cuccot, ami van, de pl. csak bizonyos kernelverzióval megy, stb.) -
Szerintem 3rd party alatt azt értették a Crowdstrike hírben, hogy olyan appok, amikbe be van építve.
BTW egy patchet egy kisebb szolgáltató is fel tud tenni, ha csak annyi.Amit még nem értek, a CVE-ben
"Both of the most popular Java implementations, Oracle JDK and OpenJDK, have shipped with a default setting that should prevent exploitation since 2019; the variablecom.sun.jndi.rmi.object.trustURLCodebaseis set tofalseby default, disallowing access to remote resources. "
Akkor ez most mi...
Mondom szerintem, aztán nem biztos, hogy igazam van.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
), de elvileg igen.
Új hozzászólás Aktív témák
- Itt a Galaxy S26 széria: az Ultra fejlődött, a másik kettő alig
- AMD Navi Radeon™ RX 9xxx sorozat
- PlayStation 5
- Autós topik
- Fogyjunk le!
- Xbox tulajok OFF topicja
- Okos Otthon / Smart Home
- A fociról könnyedén, egy baráti társaságban
- Milyen billentyűzetet vegyek?
- Milyen légkondit a lakásba?
- További aktív témák...
- Lenovo T14S Thinkpad FHD IPS i5-1135G7 16GB RAM 256GB SSD Intel Iris XE Graphics Win11 Pro Garancia
- Samsung Galaxy A23 5G 128GB, Kártyafüggetlen, 1 Év Garanciával
- MacBook Air M1 13" 16GB RAM 256GB SSD 27% áfás számla 0347AB
- HIBÁTLAN iPhone 12 Pro Max 256GB Silver -1 ÉV GARANCIA - Kártyafüggetlen, MS4306, 100 AKKSI
- Magyar Logitech G915 Billentyűzet lehet +33.000.- Ft ból
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest