Hirdetés
Új hozzászólás Aktív témák
-
hallador
addikt
Na igen a kisebbek most eléggé bajban lehetnek, na de nagy eséllyel őket nem is úgy támadják, ahogy az Amazon, Apple rendszereit. reméljük a legjobbakat.
The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
tomazin
veterán
Hat kivancsi leszek, hogy eleg lesz-e a maven/gradleben verziot emelni es kesz a dolog. Kosz a hirt!
-
Fecogame
veterán
Ha valamiért nem frissíthető a Log4j az adott rendszeren (mert mondjuk a repo-ban nem elérhető a frissebb verzió, stb.), akkor van valami beállítás, amivel ez a sebezhetőség kivédhető?
[ Szerkesztve ]
Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak
-
Szerintem 3rd party alatt azt értették a Crowdstrike hírben, hogy olyan appok, amikbe be van építve.
BTW egy patchet egy kisebb szolgáltató is fel tud tenni, ha csak annyi.Amit még nem értek, a CVE-ben
"Both of the most popular Java implementations, Oracle JDK and OpenJDK, have shipped with a default setting that should prevent exploitation since 2019; the variablecom.sun.jndi.rmi.object.trustURLCodebase
is set tofalse
by default, disallowing access to remote resources. "
Akkor ez most mi...Mutogatni való hater díszpinty
-
#68216320
törölt tag
Jól gondolom, hogy elég lenne átírnom a Maven (pom.xml) verziót erre és csak build kell megint és védve vagyok? Vagy ennél összetettebb a probléma?
[ Szerkesztve ]
-
-
veterán
Nálunk is összeszaladt az egész cég emiatt, főnök hívott is szombaton, hogy mi a helyzet. Szerencsére minket kevésbé érint, csak függőségként van behúzva a log4j, nincs aktív használatban.
-
-
Azokkal nincs is olyan nagy gond. De ami kintről elérhető, azt muszáj patchelni, mert ezen kívül is durva hibák lehetnek...
Voltam szerveradmin, a legtöbb "nem ennyire egszerű" eset adminisztratív nehézség volt (Akár az is, hogy nem aakrják megvenni az újabb verziót, inkább az admint szívatják, hogy oldja meg compliantre azt az outdated cuccot, ami van, de pl. csak bizonyos kernelverzióval megy, stb.)
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
-
strogov
senior tag
Egy bankban nem úgy megy az upgrade, hogy éjszaka kitalálod, reggel telepíted. Megfelelési folyamat van amit be kell tartani. Nyilván célszerűen a kintről látható rendszereiket naprakészen tarthatják, de simán benne van, hogy egy elkallódott rendszer ott van valahol.
Nem írok nevet (multi). Amikor rendszerlistát kértünk akkor csak az IT 3 nyilvántartóból hozta össze a 400+ működő, karbantartott rendszer nevét, és kaptunk egy excel-t is, hogy valójában ezek használjak (~150).
Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja ... és nagyon sok melójuk volt.K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van.
[ Szerkesztve ]
-
ddekany
veterán
Ezt a címet át kéne sürgősen írni... Ez egy Log4j sebezhetőség. Az Apache egy alapítvány, aminél rengeteg project fut, és nem az alapítvány alkalmazza fejlesztőket, meg úgy általában nagyon kevés központi kontroll van a projektek vezetése felett. Totálisan unfair az Apache-t feketíteni ezekkel. Kb. infrastruktúrát és jogi keretet adnak a projektekhez.
-
floatr
veterán
-
Mint mondtam, dolgoztam ilyen helyen (nem bankban, hanem nagyobb cégnél szerveradminként, ahol voltak ilyen folyamatok - és compliance is - iszonyatos idióta követelményekkel, és kb. arra volt jó, hogy lassítsa a reakciót).
"Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja"
Nekünk 20+ ezer soros szerverlista volt"K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van."
Ja, az ilyesmit borzalmasan leválasztani, de azért ez kilóg negatív irányba.Szóval nem kifogás, 2 év alatt ahol szándék van, ott végig lehet vinni egy Java updatet. Én is tapasztalatból beszélek.
@floatr : A Java általában véve lyukas.
Mutogatni való hater díszpinty
-
-
veterán
Egyszerűen csak arról van szó, hogy a Java nagyjából a legnépszerűbb nyelv (enterprise környezetben mindenképp), szóval rengetegen dolgoznak azon, hogy lyukakat találjanak benne. Továbbá számtalan 3rd party lib van, ami potenciális veszélyforrás. Speciel ez a sebezhetőség sem Java hiba.
-
-
floatr
veterán
-
-
floatr
veterán
"When exactly is the vulnerability exploitable?
All of the following conditions must apply in order for a specific Java application to be vulnerable:
- The Java application uses log4j (Maven package log4j-core) version 2.0.0-2.14.1
- A remote attacker can cause arbitrary strings to be logged, via one of the logging APIs – logger.info(), logger.debug(), logger.error(), logger.fatal(), logger.log(), logger.trace(), logger.warn().
- (on some machines) The Java JRE / JDK version in use is older than the following versions: 6u211, 7u201, 8u191, 11.0.1"Most ez az "on some machines" misztikus, de frissebb verziók esetén ki van kapcsolva a jndi lookup alapból
[ Szerkesztve ]
Új hozzászólás Aktív témák
Hirdetés
- Steam topic
- Lightyear - befektetési app
- Anglia - élmények, tapasztalatok
- Kínai és egyéb olcsó órák topikja
- Mini PC
- Elektromos autók - motorok
- Router gondok
- Bugok, problémák a PROHARDVER lapcsaládon
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- E-roller topik
- További aktív témák...
Állásajánlatok
Cég: Ozeki Kft
Város: Debrecen
Cég: Ozeki Kft
Város: Debrecen