Új hozzászólás Aktív témák
-
hallador
addikt
Azért a gyártók nagyon gyorsan reagáltak. A VMware, a HPE is és a többiek is. Szerencsére nem vették félváról.
Az pedig üdvözlendő, hogy a Prohardver HWSW cikket linkel Nem is lenne baj, ha több ilyen lenne persze mindkét oldalról. Jó látni azért az ilyen dolgokat. Üdvözlendő.[ Szerkesztve ]
The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
azbest
félisten
amúgy azt hiányolom a nagy rémüldözésben, hogy alig írják le bárhol, milyen workaround van. És hogy a workaroudok mennyire biztonságosak vagy azok mellett is megy-e a ddos.
Konkrétan, hogy bizonyos jdk verzióktól alapból ki van kapcsolva by default az ldap-os kókány távoli kód futtatós hiba. Hacsak direkt nem kapcsolták be, akkor nem aktív - így jdk verzióval is lehet azt kezelni, legalább ideiglenesen. (ha nagyobb a jdk verzió, mint 6u211, 7u201, 8u191, 11.0.1)
Nem mindenütt lehet csak úgy kidobálni productionba dolgokat.
[ Szerkesztve ]
-
hallador
addikt
Azt leírják, hogy milyen Workaround van.
pl:
https://kb.vmware.com/s/article/87081
https://www.vmware.com/security/advisories/VMSA-2021-0028.htmlThe further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
azbest
félisten
ez csak a vmware hekkelése, nem erre gondltam. Hanem amit írtam. Megfelelő, friss jdk patch verzióval nem alapértelmezett a kódfuttatás hiba jelenléte, mert kikapcsolták alapértelmezetten azt, ami okozza. Ha az alkalmazás maga nem kapcsolja be a paraméterek közt, akkor a friss (nem legnagyobb számú, hanem adott ágon a friss.. khm 2018nál újabb) jdk mellett nem sebezhető. Legalábbis van ahol ezt írták.
A ddos más kérdés, de főleg a távoli futtatás gáz.
[ Szerkesztve ]
-
hallador
addikt
Miért amúgy mit vártál? Hogy majd a gyártók megoldják egyedül, vagy?
Ki adták a 2.15-öt, majd 2.16-ot, majd pénteken kiderült, hogy az is támadható így a 2.17-et, és nincs vége még.
Arra még nem is jött Workaround senkitől.
A Woraround is több a semminél. Azért lehetséges, hogy az 0-1 gondolkodásmód amit virág elvtárs megalkotott.The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
hallador
addikt
-
Korrektor
Segítek – a lényeg az, hogy nincs ellentmondás, mert:
- te azt mondod, milyen megoldások vannak (megnéztem, általánosan is használható)
- ő azt mondja, hogy nagyobb az izgalom, mint kéne, mert szigorúan Java és Log4j verzió függő esetről van szóÉs mindkettő egyszerre igaz
-
azbest
félisten
Ha jól értem, a javában van az a lib, aminél egy paraméter ki vagy bekapcsolása szerint vagy lehet vagy nem lehet az ldapos támadást csinálni. És ha jól értem, akkor aki rendesen követte a java patch verziók felrakását és saját maga direktben nem kapcsolta be az ldapos varázslást, akkor a java újabb verzióiban eleve ki van az kapcsolva, ami kell a kihasználásához.
És production környezetben lehet sokkal hosszabb idő egy alkalmazástból új buildet kirakatni, mint javából egy újabb patch verziót - ha nem az van eleve ott. Szóval talán már ezzel lehet tompítani a támadás esélyét. Ezt érdemes olvasni [link]Attól még más fajta támadásokra lehet érzékeny a rendszer. De jellemzően sokkal kisebb baj, ha le lehet fagyasztni, mintha kódot lehet futtatni rajta.
Ha jól láttam a wmvare leírásokban is ilyen kapcsolgatást csinálnak, csak nem tudom, hogy a vmware direkt használta-e azt a featuret vagy java verzió ellenőrzés helyett a kapcsolókat hekkelgetik olyan helyen, ami alapból nem konfigurálható esetleg a user számára.
[ Szerkesztve ]
-
A CVE-ben (de legalábbis a Crowdstrike-os hírben) ott van, hogy
"Both of the most popular Java implementations, Oracle JDK and OpenJDK, have shipped with a default setting that should prevent exploitation since 2019; the variablecom.sun.jndi.ldap.object.trustURLCodebase
is set tofalse
by default,"
Azon röhögök azóta is, hogy 2019 óta defaultból off, és csomó helyen még azon a verzión sincsenek?Mutogatni való hater díszpinty
-
anulu
félisten
üdv a való világban tudok olyan netre lógatott gépekről, amiken a mai napig WinSrv 2003 fut, mert azon megy az app, ami kell. és nem 10 fős garázs cégnél...
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
nagyúr
> Nem mindenütt lehet csak úgy kidobálni productionba dolgokat.
Eze' kellenek a jo automata tesztek Mi péntek kora reggel mar patcheltunk mindenhol, aztan következő heten jöttek a levelek az ügyfelektől, hogy konfirmáljuk, hogy mar tervezzük a patchet
while (!sleep) sheep++;
-
-
Protezis
őstag
A rendszergazdáknak ehhez mi köze? Fejlesztőknek kell upgradelni, releaselni, deployolni. Esetleg ops, DevOps kerülhet itt szóba.
Rendszergazdák, akik a beszáradt patront cserélik a nyomtatóban, meg Windowst telepítenek, azok azt se tudják, hogy eszik-e vagy isszák a log4j-t.https://hardverapro.hu/apro/unifi_u6-lr_u6-lite_uap-ac-pro_4xuf-rj45-10g_22_pa/hsz_1-50.html
-
Protezis
őstag
Nem foglalkoznak... tessék? Itt egy lib sebezhetőségről van szó. Maven/gradle rebuild kell, újra kell tesztelni az alkalmazást, releaselni az új verziót. Ezt fejlesztők és tesztelők csináljak, nem "admin"-ok. Ahol jó 10 évvel vannak lemaradva, azoknál is egy OPs team deployol prodra, de sehol se rendszergazdák updatelnek libeket.
https://hardverapro.hu/apro/unifi_u6-lr_u6-lite_uap-ac-pro_4xuf-rj45-10g_22_pa/hsz_1-50.html
-
Protezis
őstag
Szerintem elég jó elképzelésem van a valóságról ezen a téren. De mégis mondjátok már el, hogy milyen lépésekben (és hol van ez) upgradel log4j-t egy rendszergazda! Tényleg kíváncsi vagyok rá. Már csak azért is, hogy olyan helyre még véletlenül se akarják elmenni dolgozni. :)
[ Szerkesztve ]
https://hardverapro.hu/apro/unifi_u6-lr_u6-lite_uap-ac-pro_4xuf-rj45-10g_22_pa/hsz_1-50.html
-
Protezis
őstag
Ok, ez valid példa. Azért valljuk be, a log4j sebezhetőség nem a desktop vonalon okozza a legnagyobb gondot. Mondjuk az érintett alkalmazások 5%-a lehet desktop app? Valamint ezzel a te fejlesztői géped lesz támadható, nem egy szerver. A rendszergazdák emiatt nem rakják le a bejglit.
[ Szerkesztve ]
https://hardverapro.hu/apro/unifi_u6-lr_u6-lite_uap-ac-pro_4xuf-rj45-10g_22_pa/hsz_1-50.html
-
Protezis
őstag
Beakadt a lemez?
A rendszergazda egy tág fogalom, valóban. Azonban a log4j sebezhetőség kapcsán az operation jellegű embereknek van a legkevesebb dolga. Nem értem, miért ez van kiemelve a cikkben.[ Szerkesztve ]
https://hardverapro.hu/apro/unifi_u6-lr_u6-lite_uap-ac-pro_4xuf-rj45-10g_22_pa/hsz_1-50.html
-
nagyúr
Vicces módon az első nagy balhé pont desktopon volt - Minecraft chat segítségével pwnoltak meg egy jó csomó desktopot.
Tableau jellemzően nem fejlesztői, hanem business user gépen van, ott meg 1) lehet egy jó csomó kritikus adat 2) máris bent vagy a vállalati hálózatban.
while (!sleep) sheep++;
-
Protezis
őstag
Tableaunak csak a webes formáját láttam, nem tudom, a desktop kliens mit tud, de talán mindegy is. Egy sebezhető szerver alkalmazás frissítése akkor is kritikusabb, amit bárki elérhet a netről, mint egy desktop app.
UnA: igen, az operations mitigálja (bocs) a problémát. Jó esetben hátradől, ha mondjuk Cloudflare van a szerver előtt. Többször nem írom le: az alkalmazásokat (legyen szó szerver, vagy desktop) a fejlesztő csapatok javítják, és ők szívnak a legtöbbet ezzel.
https://hardverapro.hu/apro/unifi_u6-lr_u6-lite_uap-ac-pro_4xuf-rj45-10g_22_pa/hsz_1-50.html
-
hx4u
csendes tag
Tényleg semmi dolguk.
Levadászni az érintett szoftvereket, gyártói javításokat böngészni telepíteni, tesztelni.
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
Hálózati és végponti védelem IPS mintáit tesztelni Log4j-re pentest eszközökkel.
Webes proxy-k load balancer-ek WAF-ok esetén specifikus log4j támadási minták felvétele, tesztelése.
Lehet lesznek olyanok akiknek meglepő, de IT ott is van ahol a termék nem egy szoftver, vagy egy IT szolgáltatás. Ott nem az a para, ha a helyi dev team alkalmazását valaki majd jön és felnyomja, hanem a Vcenter. -
Protezis
őstag
A webes alkalmazásokat jobb esetben igen, a fejlesztő csapat. Úgy 5-10 éve ez a trendi. Magyar KKV-nál lehet nem, arra szerencsére nincs rálátásom. De remélhetőleg nem az a mérce globálisan nézve.
Lehetne vitázni, hogy melyik igényel több időt, szakértelmet: releaselni és esetleg plusz még deployolni egy új szoftvert, vagy desktop alkalmazás esetén frissíteni az újra. De ebbe kár belemenni. Szinte minden Javás szoftverfejlesztő cégnél káosz volt az év vége. Biztos voltak izgalmas perceik a Javás szoftvereket telepítő rendszergazdáknak is, nem vitatom. Meg azoknak is, akik gyorsan megpatkolták a tűzfalat, amíg megjön a frissített app...
[ Szerkesztve ]
https://hardverapro.hu/apro/unifi_u6-lr_u6-lite_uap-ac-pro_4xuf-rj45-10g_22_pa/hsz_1-50.html
-
hx4u
csendes tag
Én se hinném hogy a Vmware fejlesztői csapatál jönnének deploly-olni az ügyfélenk.
Ez csak 1 példa, ezernyi termék van ahol kiadnak, patche-et és az operation telepítheti.
Jobb esetben a patch előtt kapsz valami workaround-to amíg a feljelsztők az összes érintett teméket megtalálják javítját.
Mai hír megint egy új sérülékenység CVE-2021-44832 és ismét egy új verzió. 2.17.1.
De addig is az operation illetve a SOC (már ahol van) esetleg tud annyi időt nyeri, hogy a dev team legyen az külső, belső, vagy thirdparty utolérje magát.
Összefoglalva operation feladata:
Megfelelően ellenálló többrétegű design
Érintett rendszerek számbavétele. Workaround-ok és Fix-ek ütemezése.
Végpontvédelem, HIDS, NDIS, IPS minden rendszere plusz NGFW megfelelő helyeken SSL decrypt.
Publikus rendszerknél mindimum egy Modsecurity, WAF, Cloud alapú WAF.
Logok pedig be SOC-ba, vagy MSS-be. Azok majd szólnak ha valami van.
Ami nem javítható azt szeparálni, megerősíteni.
Mindeközben egyeztetni az üzelt, és a Dev team között a frissítések miatti leállásról. A teszterek QC-sokon is valahogy átnyomni a change-eket és közben elmondani érthetőenk a menedzsmentenek mi is ez az egész. -
hx4u
csendes tag
Ne csak arra gondolj hogy csak a java-s appodban van hiba.
Ez a szar többszörösen beágyazott, pl akár egy tűzfal menedzsment felületét is érintheti, vagy egy IDM rendszert.
Vagy egy olyan platformot, amire egy másik platform épül.
Mindenki meg vár a másikra, közben egyre jönnek az új hibák.
Itt a lista. Lehet böngészni nem éppen KKV szoftverek.
https://github.com/NCSC-NL/log4shell/blob/main/software/software_list_a.md
És ezek bizony olyan helyen is ott lehetnek ahol úgy tudják egy sor Java kód sincs.
Továbbra is ajánlom mindenkinek ezt a listát.https://github.com/NCSC-NL/log4shell/blob/main/software/software_list_a.md
Sok szerver management felülete Java alapú és majdnem mind érintett. Agyf@asz az egész. -
Új hozzászólás Aktív témák
- Dell XPS 9305 ultrabook, üzletből, garanciával i5-1165G7 16GBRAM 512SSD 13,3"FULLHDIPS
- ThinkPad X395 üzeti utrabook,üzletből,.garanciával Ryzen7/16RAM/512SSD/FULLHD IPS /LTE
- Bomba áron, üzletből, garanciával, DeLL XPS 17 9710 i7-11800H/16GB RAM/512SSD/RTX3050/FULLHD IPS
- LG UltraFine 27UN83A-W 2 év Gyári garancia +AJÁNDÉK Gyári LG Ergo állvány
- Üzletből, garanciával, Macbook Pro Retina 13" Touch Bar 2016 i7/3,3GHz/16GBRAM/512GBSSD magyar bill.
Állásajánlatok
Cég: Ozeki Kft
Város: Debrecen
Cég: Ozeki Kft
Város: Debrecen