[OT] Log4j - klice od pulky internetu
Josef Zeman
jozem na volny.cz
Středa Prosinec 15 17:50:42 CET 2021
Je to dost rozsáhlá serverová část měřicího systému, které je Tomcat jen drobnou součástí ... V celku skoro není k nalezení. Klienti na něj přistupují přes webové rozhraní. Zrovna tahle knihovna tam má dost práce.
Zeman
15. prosince 2021 15:44:20 UTC, Jindroush <jindroush na seznam.cz> napsal:
>Mirne upresneni v mezich zakona:
>
>Apache je dnes nadace, ktera zastresuje radu ruznych projektu.
>
>Kdysi se pojmem Apache oznacoval prevazne jejich httpd server.
>
>Chyba se tyka javove knihovny Log4j vyvijene Apache. Chyba se netyka
>weboveho httpd serveru.
>Takze pokud je soucasti neceho Apache httpd, nemelo by se ho to varovani
>tykat, ne?
>
>J.
>
>On 15.12.2021 16:39, Josef Zeman wrote:
>> Dobrý den
>>
>> Díky za informaci. O den předběhla naše security, takže když poslali
>> varování, tak jsem mohl obratem odpovědět, že na mých strojích je už
>> hotovo. Dodavatel jednoho "postiženého" systému odpověděl, že nová
>> verze, která problém odstraní, bude v prvním čtvrtletí :-) Jeho
>> součástí je Apache. Update knihovny na 2.16.0 nic nerozbil.
>>
>> Zeman
>>
>>> Trochu si zaspamuju, ale je to opravdu prusvih.
>>>
>>> Pravdepodobne jste o tom uz slyseli - jedna se o problem v apache
>>> knihovne ktera se pouziva skoro vsude kde je java a potrebujete
>>> logovat.
>>>
>>> Popis problem treba tady
>>>
>>> https://www.wired.com/story/log4j-flaw-hacking-internet/
>>>
>>> Je potreba si uvedomit, ze je to opravdu skoro vsude a nase firewally
>>> zachycuji aktivni pouzivani techto exploit. Jinak bych sem nepsal.
>>> Sam jsem doma upravoval kde co pocinaje minecraftem (i klient) a
>>> konce domaci automatizaci
>>>
>>> Oprav existuje nekolik - dat posledni verzi pridat java parametr
>>> -Dlog4j2.formatMsgNoLookups=true pripadne se da kuchnout jarko a
>>> udelat tam vymenu classy
>>>
>>> J.V.
>>>
>> _______________________________________________
>> HW-list mailing list - sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
>
>--
>Jindroush <jindroush na seznam.cz>
>
>_______________________________________________
>HW-list mailing list - sponsored by www.HW.cz
>Hw-list na list.hw.cz
>http://list.hw.cz/mailman/listinfo/hw-list
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20211215/c9925836/attachment.htm>
Další informace o konferenci Hw-list