[OT] Log4j - klice od pulky internetu

Jindroush jindroush na seznam.cz
Středa Prosinec 15 17:57:24 CET 2021 

Ano, Apache Tomcat je prakticky 'webserver pro javu', takze toho, a 
cehokoli bezicim nad nim, se to temer jiste tyka. Z vasi poznamky mi 
nebylo jasne, zda nemyslite prave Apache httpd, tj. 'bezny webserver'.
J.

On 15.12.2021 17:50, Josef Zeman wrote:
> Je to dost rozsáhlá serverová část měřicího systému, které je Tomcat 
> jen drobnou součástí ... V celku skoro není k nalezení. Klienti na něj 
> přistupují přes webové rozhraní. Zrovna tahle knihovna tam má dost práce.
>
> Zeman
>
> 15. prosince 2021 15:44:20 UTC, Jindroush <jindroush na seznam.cz> napsal:
>
>     Mirne upresneni v mezich zakona:
>
>     Apache je dnes nadace, ktera zastresuje radu ruznych projektu.
>
>     Kdysi se pojmem Apache oznacoval prevazne jejich httpd server.
>
>     Chyba se tyka javove knihovny Log4j vyvijene Apache. Chyba se netyka
>     weboveho httpd serveru.
>     Takze pokud je soucasti neceho Apache httpd, nemelo by se ho to varovani
>     tykat, ne?
>
>     J.
>
>     On 15.12.2021 16:39, Josef Zeman wrote:
>
>         Dobrý den Díky za informaci. O den předběhla naše security,
>         takže když poslali varování, tak jsem mohl obratem odpovědět,
>         že na mých strojích je už hotovo. Dodavatel jednoho
>         "postiženého" systému odpověděl, že nová verze, která problém
>         odstraní, bude v prvním čtvrtletí :-) Jeho součástí je Apache.
>         Update knihovny na 2.16.0 nic nerozbil. Zeman
>
>             Trochu si zaspamuju, ale je to opravdu prusvih.
>             Pravdepodobne jste o tom uz slyseli - jedna se o problem v
>             apache knihovne ktera se pouziva skoro vsude kde je java a
>             potrebujete logovat. Popis problem treba tady
>             https://www.wired.com/story/log4j-flaw-hacking-internet/
>             <https://www.wired.com/story/log4j-flaw-hacking-internet/>
>             Je potreba si uvedomit, ze je to opravdu skoro vsude a
>             nase firewally zachycuji aktivni pouzivani techto exploit.
>             Jinak bych sem nepsal. Sam jsem doma upravoval kde co
>             pocinaje minecraftem (i klient) a konce domaci
>             automatizaci Oprav existuje nekolik - dat posledni verzi
>             pridat java parametr -Dlog4j2.formatMsgNoLookups=true
>             pripadne se da kuchnout jarko a udelat tam vymenu classy J.V. 
>
>         ------------------------------------------------------------------------
>         HW-list mailing list - sponsored by www.HW.cz
>         Hw-list na list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list
>         <http://list.hw.cz/mailman/listinfo/hw-list> 
>
>
>
>     -- Jindroush <jindroush na seznam.cz>
>     ------------------------------------------------------------------------
>     HW-list mailing list - sponsored by www.HW.cz Hw-list na list.hw.cz
>     http://list.hw.cz/mailman/listinfo/hw-list
>     <http://list.hw.cz/mailman/listinfo/hw-list>
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


-- 
Jindroush <jindroush na seznam.cz>

------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20211215/5b807f09/attachment.htm>

Další informace o konferenci Hw-list