[OT] Log4j - klice od pulky internetu
Josef Zeman
jozem na volny.cz
Středa Prosinec 15 16:39:58 CET 2021
Dobrý den
Díky za informaci. O den předběhla naše security, takže když poslali
varování, tak jsem mohl obratem odpovědět, že na mých strojích je už
hotovo. Dodavatel jednoho "postiženého" systému odpověděl, že nová
verze, která problém odstraní, bude v prvním čtvrtletí :-) Jeho
součástí je Apache. Update knihovny na 2.16.0 nic nerozbil.
Zeman
> Trochu si zaspamuju, ale je to opravdu prusvih.
>
> Pravdepodobne jste o tom uz slyseli - jedna se o problem v apache
> knihovne ktera se pouziva skoro vsude kde je java a potrebujete
> logovat.
>
> Popis problem treba tady
>
> https://www.wired.com/story/log4j-flaw-hacking-internet/
>
> Je potreba si uvedomit, ze je to opravdu skoro vsude a nase firewally
> zachycuji aktivni pouzivani techto exploit. Jinak bych sem nepsal.
> Sam jsem doma upravoval kde co pocinaje minecraftem (i klient) a
> konce domaci automatizaci
>
> Oprav existuje nekolik - dat posledni verzi pridat java parametr
> -Dlog4j2.formatMsgNoLookups=true pripadne se da kuchnout jarko a
> udelat tam vymenu classy
>
> J.V.
>
Další informace o konferenci Hw-list