- Ausztráliának is elege van a közösségi média káros hatásaiból
- A leépítések után egy vagyont költ a töltőhálózatára a Tesla
- Napvihar miatt akadoznak a SpaceX Starlink műholdak
- Honnan tudjuk, hogy melyik tartalmat gyártotta a TikTokra az AI?
- Bocsánatot kért az Apple, mert nagyon mellélőtt a legutóbbi reklámjával
Új hozzászólás Aktív témák
-
hallador
addikt
Na igen a kisebbek most eléggé bajban lehetnek, na de nagy eséllyel őket nem is úgy támadják, ahogy az Amazon, Apple rendszereit. reméljük a legjobbakat.
The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
-
tomazin
veterán
Hat kivancsi leszek, hogy eleg lesz-e a maven/gradleben verziot emelni es kesz a dolog. Kosz a hirt!
-
Fecogame
veterán
Ha valamiért nem frissíthető a Log4j az adott rendszeren (mert mondjuk a repo-ban nem elérhető a frissebb verzió, stb.), akkor van valami beállítás, amivel ez a sebezhetőség kivédhető?
[ Szerkesztve ]
Lassú a mobilinterneted? 4G/LTE antennák, közvetlenül raktárról ---> http://bit.ly/LTE_Antennak
-
Szerintem 3rd party alatt azt értették a Crowdstrike hírben, hogy olyan appok, amikbe be van építve.
BTW egy patchet egy kisebb szolgáltató is fel tud tenni, ha csak annyi.Amit még nem értek, a CVE-ben
"Both of the most popular Java implementations, Oracle JDK and OpenJDK, have shipped with a default setting that should prevent exploitation since 2019; the variablecom.sun.jndi.rmi.object.trustURLCodebase
is set tofalse
by default, disallowing access to remote resources. "
Akkor ez most mi...Mutogatni való hater díszpinty
-
#68216320
törölt tag
Jól gondolom, hogy elég lenne átírnom a Maven (pom.xml) verziót erre és csak build kell megint és védve vagyok? Vagy ennél összetettebb a probléma?
[ Szerkesztve ]
-
-
addikt
Nálunk is összeszaladt az egész cég emiatt, főnök hívott is szombaton, hogy mi a helyzet. Szerencsére minket kevésbé érint, csak függőségként van behúzva a log4j, nincs aktív használatban.
-
-
Azokkal nincs is olyan nagy gond. De ami kintről elérhető, azt muszáj patchelni, mert ezen kívül is durva hibák lehetnek...
Voltam szerveradmin, a legtöbb "nem ennyire egszerű" eset adminisztratív nehézség volt (Akár az is, hogy nem aakrják megvenni az újabb verziót, inkább az admint szívatják, hogy oldja meg compliantre azt az outdated cuccot, ami van, de pl. csak bizonyos kernelverzióval megy, stb.)
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
-
strogov
senior tag
Egy bankban nem úgy megy az upgrade, hogy éjszaka kitalálod, reggel telepíted. Megfelelési folyamat van amit be kell tartani. Nyilván célszerűen a kintről látható rendszereiket naprakészen tarthatják, de simán benne van, hogy egy elkallódott rendszer ott van valahol.
Nem írok nevet (multi). Amikor rendszerlistát kértünk akkor csak az IT 3 nyilvántartóból hozta össze a 400+ működő, karbantartott rendszer nevét, és kaptunk egy excel-t is, hogy valójában ezek használjak (~150).
Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja ... és nagyon sok melójuk volt.K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van.
[ Szerkesztve ]
-
ddekany
veterán
Ezt a címet át kéne sürgősen írni... Ez egy Log4j sebezhetőség. Az Apache egy alapítvány, aminél rengeteg project fut, és nem az alapítvány alkalmazza fejlesztőket, meg úgy általában nagyon kevés központi kontroll van a projektek vezetése felett. Totálisan unfair az Apache-t feketíteni ezekkel. Kb. infrastruktúrát és jogi keretet adnak a projektekhez.
-
floatr
veterán
-
Mint mondtam, dolgoztam ilyen helyen (nem bankban, hanem nagyobb cégnél szerveradminként, ahol voltak ilyen folyamatok - és compliance is - iszonyatos idióta követelményekkel, és kb. arra volt jó, hogy lassítsa a reakciót).
"Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja"
Nekünk 20+ ezer soros szerverlista volt"K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van."
Ja, az ilyesmit borzalmasan leválasztani, de azért ez kilóg negatív irányba.Szóval nem kifogás, 2 év alatt ahol szándék van, ott végig lehet vinni egy Java updatet. Én is tapasztalatból beszélek.
@floatr : A Java általában véve lyukas.
Mutogatni való hater díszpinty
-
-
addikt
Egyszerűen csak arról van szó, hogy a Java nagyjából a legnépszerűbb nyelv (enterprise környezetben mindenképp), szóval rengetegen dolgoznak azon, hogy lyukakat találjanak benne. Továbbá számtalan 3rd party lib van, ami potenciális veszélyforrás. Speciel ez a sebezhetőség sem Java hiba.
-
-
floatr
veterán
-
-
floatr
veterán
"When exactly is the vulnerability exploitable?
All of the following conditions must apply in order for a specific Java application to be vulnerable:
- The Java application uses log4j (Maven package log4j-core) version 2.0.0-2.14.1
- A remote attacker can cause arbitrary strings to be logged, via one of the logging APIs – logger.info(), logger.debug(), logger.error(), logger.fatal(), logger.log(), logger.trace(), logger.warn().
- (on some machines) The Java JRE / JDK version in use is older than the following versions: 6u211, 7u201, 8u191, 11.0.1"Most ez az "on some machines" misztikus, de frissebb verziók esetén ki van kapcsolva a jndi lookup alapból
[ Szerkesztve ]
Új hozzászólás Aktív témák
- 3,5hónapos Apple iPhone 15 Pro Natural Titan 256GB (S23/S24+ és Ultra beszámítás)
- 4TB -os új bontatlan 3,5"-os HDD 1 év garancia Toshiba Surveillance S300
- SAMSUNG (MU-PE2T0R) -( KÉK) 2TB SSD KÜLSŐ MEREVLEMEZ ! UJ!
- ASUS TuF F15 - 15,6" 144Hz, I5-11400H, 16/512, RTX 3050-4, TBOLT4 +SZLA +GAR +ajándék egér,egérpad!!
- SAMSUNG (QE65S90CAT) 165CM 4K Q-OLED SMART 2024 PRÉMIUM ! AKCIÓ
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Promenade Publishing House Kft.
Város: Budapest