[OT] Log4j - klice od pulky internetu
Jindroush
jindroush na seznam.cz
Středa Prosinec 15 17:57:24 CET 2021
Ano, Apache Tomcat je prakticky 'webserver pro javu', takze toho, a
cehokoli bezicim nad nim, se to temer jiste tyka. Z vasi poznamky mi
nebylo jasne, zda nemyslite prave Apache httpd, tj. 'bezny webserver'.
J.
On 15.12.2021 17:50, Josef Zeman wrote:
> Je to dost rozsáhlá serverová část měřicího systému, které je Tomcat
> jen drobnou součástí ... V celku skoro není k nalezení. Klienti na něj
> přistupují přes webové rozhraní. Zrovna tahle knihovna tam má dost práce.
>
> Zeman
>
> 15. prosince 2021 15:44:20 UTC, Jindroush <jindroush na seznam.cz> napsal:
>
> Mirne upresneni v mezich zakona:
>
> Apache je dnes nadace, ktera zastresuje radu ruznych projektu.
>
> Kdysi se pojmem Apache oznacoval prevazne jejich httpd server.
>
> Chyba se tyka javove knihovny Log4j vyvijene Apache. Chyba se netyka
> weboveho httpd serveru.
> Takze pokud je soucasti neceho Apache httpd, nemelo by se ho to varovani
> tykat, ne?
>
> J.
>
> On 15.12.2021 16:39, Josef Zeman wrote:
>
> Dobrý den Díky za informaci. O den předběhla naše security,
> takže když poslali varování, tak jsem mohl obratem odpovědět,
> že na mých strojích je už hotovo. Dodavatel jednoho
> "postiženého" systému odpověděl, že nová verze, která problém
> odstraní, bude v prvním čtvrtletí :-) Jeho součástí je Apache.
> Update knihovny na 2.16.0 nic nerozbil. Zeman
>
> Trochu si zaspamuju, ale je to opravdu prusvih.
> Pravdepodobne jste o tom uz slyseli - jedna se o problem v
> apache knihovne ktera se pouziva skoro vsude kde je java a
> potrebujete logovat. Popis problem treba tady
> https://www.wired.com/story/log4j-flaw-hacking-internet/
> <https://www.wired.com/story/log4j-flaw-hacking-internet/>
> Je potreba si uvedomit, ze je to opravdu skoro vsude a
> nase firewally zachycuji aktivni pouzivani techto exploit.
> Jinak bych sem nepsal. Sam jsem doma upravoval kde co
> pocinaje minecraftem (i klient) a konce domaci
> automatizaci Oprav existuje nekolik - dat posledni verzi
> pridat java parametr -Dlog4j2.formatMsgNoLookups=true
> pripadne se da kuchnout jarko a udelat tam vymenu classy J.V.
>
> ------------------------------------------------------------------------
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list
> <http://list.hw.cz/mailman/listinfo/hw-list>
>
>
>
> -- Jindroush <jindroush na seznam.cz>
> ------------------------------------------------------------------------
> HW-list mailing list - sponsored by www.HW.cz Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
> <http://list.hw.cz/mailman/listinfo/hw-list>
>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
--
Jindroush <jindroush na seznam.cz>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20211215/5b807f09/attachment.htm>
Další informace o konferenci Hw-list