Új hozzászólás Aktív témák
-
floatr
veterán
"When exactly is the vulnerability exploitable?
All of the following conditions must apply in order for a specific Java application to be vulnerable:
- The Java application uses log4j (Maven package log4j-core) version 2.0.0-2.14.1
- A remote attacker can cause arbitrary strings to be logged, via one of the logging APIs – logger.info(), logger.debug(), logger.error(), logger.fatal(), logger.log(), logger.trace(), logger.warn().
- (on some machines) The Java JRE / JDK version in use is older than the following versions: 6u211, 7u201, 8u191, 11.0.1"Most ez az "on some machines" misztikus, de frissebb verziók esetén ki van kapcsolva a jndi lookup alapból
-
floatr
veterán
-
Egyszerűen csak arról van szó, hogy a Java nagyjából a legnépszerűbb nyelv (enterprise környezetben mindenképp), szóval rengetegen dolgoznak azon, hogy lyukakat találjanak benne. Továbbá számtalan 3rd party lib van, ami potenciális veszélyforrás. Speciel ez a sebezhetőség sem Java hiba.
-
Mint mondtam, dolgoztam ilyen helyen (nem bankban, hanem nagyobb cégnél szerveradminként, ahol voltak ilyen folyamatok - és compliance is - iszonyatos idióta követelményekkel, és kb. arra volt jó, hogy lassítsa a reakciót).
"Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja"
Nekünk 20+ ezer soros szerverlista volt
"K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van."
Ja, az ilyesmit borzalmasan leválasztani, de azért ez kilóg negatív irányba.Szóval nem kifogás, 2 év alatt ahol szándék van, ott végig lehet vinni egy Java updatet. Én is tapasztalatból beszélek.
@floatr : A Java általában véve lyukas.
-
floatr
veterán
-
ddekany
veterán
Ezt a címet át kéne sürgősen írni... Ez egy Log4j sebezhetőség. Az Apache egy alapítvány, aminél rengeteg project fut, és nem az alapítvány alkalmazza fejlesztőket, meg úgy általában nagyon kevés központi kontroll van a projektek vezetése felett. Totálisan unfair az Apache-t feketíteni ezekkel. Kb. infrastruktúrát és jogi keretet adnak a projektekhez.
-
strogov
senior tag
Egy bankban nem úgy megy az upgrade, hogy éjszaka kitalálod, reggel telepíted. Megfelelési folyamat van amit be kell tartani. Nyilván célszerűen a kintről látható rendszereiket naprakészen tarthatják, de simán benne van, hogy egy elkallódott rendszer ott van valahol.
Nem írok nevet (multi). Amikor rendszerlistát kértünk akkor csak az IT 3 nyilvántartóból hozta össze a 400+ működő, karbantartott rendszer nevét, és kaptunk egy excel-t is, hogy valójában ezek használjak (~150).
Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja ... és nagyon sok melójuk volt.K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van.
-
Azokkal nincs is olyan nagy gond. De ami kintről elérhető, azt muszáj patchelni, mert ezen kívül is durva hibák lehetnek...
Voltam szerveradmin, a legtöbb "nem ennyire egszerű" eset adminisztratív nehézség volt
(Akár az is, hogy nem aakrják megvenni az újabb verziót, inkább az admint szívatják, hogy oldja meg compliantre azt az outdated cuccot, ami van, de pl. csak bizonyos kernelverzióval megy, stb.) -
Szerintem 3rd party alatt azt értették a Crowdstrike hírben, hogy olyan appok, amikbe be van építve.
BTW egy patchet egy kisebb szolgáltató is fel tud tenni, ha csak annyi.Amit még nem értek, a CVE-ben
"Both of the most popular Java implementations, Oracle JDK and OpenJDK, have shipped with a default setting that should prevent exploitation since 2019; the variablecom.sun.jndi.rmi.object.trustURLCodebaseis set tofalseby default, disallowing access to remote resources. "
Akkor ez most mi...
Mondom szerintem, aztán nem biztos, hogy igazam van.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
), de elvileg igen.
Új hozzászólás Aktív témák
- Jövedelem
- AMD Ryzen 9 / 7 / 5 / 3 5***(X) "Zen 3" (AM4)
- Yettel topik
- Szívós, szép és kitartó az új OnePlus óra
- Hobby elektronika
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- Az Apple bemutatta az iPhone 17-et
- PlayStation 5
- A Temu diktál Magyarországon, a hazai e-kereskedők fulladoznak
- Bestbuy játékok
- További aktív témák...
- Precision 3590 15.6" FHD IPS Ultra 7 155H RTX 500 Ada 32GB 1TB NVMe gar
- iPhone 15 Pro 128GB Blue Titanium
- GAMER PC : RYZEN 7 2700X / GTX 1660 SUPER / 16GB DDR4 3200MHz / 512GB NVMe + 500GB HDD
- AMD Ryzen 9 5900X/Radeon 6800XT 16GB/32GB DDR4 RAM konfig eladó
- T495 14" FHD IPS Ryzen 5 PRO 3500U 16GB 256GB NVMe magyar vbill ujjlolv új akku gar
- HIBÁTLAN iPhone 15 Pro 256GB Blue Titanium -1 ÉV GARANCIA - Kártyafüggetlen, MS3505, 93% Akkumulátor
- Amazon Kindle 10th Generation ébresztős tok
- ÁRGARANCIA!Épített KomPhone i5 14600KF 32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- GYÖNYÖRŰ iPhone 13 Pro 128GB Sierra Blue -1 ÉV GARANCIA - Kártyafüggetlen, MS3389, 94% Akkumulátor
- iKing.Hu - Honor Magic 5 Pro 5G - Használt, újszerű állapotban, ajándék tokkal!
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest