[OT] Log4j - klice od pulky internetu
konference na vojtek.biz
konference na vojtek.biz
Středa Prosinec 15 18:41:40 CET 2021
Nezapomente taky na Tomcat jako aplikacni server, pod kterym bezi dnes kde co, pripadne Jetty oblibena jako embeded aplikac a další jako weblogic, GlassFish …
Je toho proste moc. Nejhorsi na tomhle je, ze nevite kde vsude to muze bezet. Naprosto nejvic ve mne dloube jestli to nahodou nemam treba v TV, prehravaci …
Jeste jedna perlicka verze knihovny Log4J 2.15 opravuje 0 day problem, ale vcera v ni nasli dalsi chybu, kterou opravuje 2.16
Nastesti tato nova chyba neni prilis zavazna. Kazdopadne pokud menite na novou verzi je momentalne doporucena 2.16
J.V.
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Jindroush
Sent: Wednesday, December 15, 2021 5:57 PM
To: HW-news <hw-list na list.hw.cz>
Subject: Re: [OT] Log4j - klice od pulky internetu
Ano, Apache Tomcat je prakticky 'webserver pro javu', takze toho, a cehokoli bezicim nad nim, se to temer jiste tyka. Z vasi poznamky mi nebylo jasne, zda nemyslite prave Apache httpd, tj. 'bezny webserver'.
J.
On 15.12.2021 17:50, Josef Zeman wrote:
Je to dost rozsáhlá serverová část měřicího systému, které je Tomcat jen drobnou součástí ... V celku skoro není k nalezení. Klienti na něj přistupují přes webové rozhraní. Zrovna tahle knihovna tam má dost práce.
Zeman
15. prosince 2021 15:44:20 UTC, Jindroush <mailto:jindroush na seznam.cz> <jindroush na seznam.cz> napsal:
Mirne upresneni v mezich zakona:
Apache je dnes nadace, ktera zastresuje radu ruznych projektu.
Kdysi se pojmem Apache oznacoval prevazne jejich httpd server.
Chyba se tyka javove knihovny Log4j vyvijene Apache. Chyba se netyka
weboveho httpd serveru.
Takze pokud je soucasti neceho Apache httpd, nemelo by se ho to varovani
tykat, ne?
J.
On 15.12.2021 16:39, Josef Zeman wrote:
Dobrý den
Díky za informaci. O den předběhla naše security, takže když poslali
varování, tak jsem mohl obratem odpovědět, že na mých strojích je už
hotovo. Dodavatel jednoho "postiženého" systému odpověděl, že nová
verze, která problém odstraní, bude v prvním čtvrtletí :-) Jeho
součástí je Apache. Update knihovny na 2.16.0 nic nerozbil.
Zeman
Trochu si zaspamuju, ale je to opravdu prusvih.
Pravdepodobne jste o tom uz slyseli - jedna se o problem v apache
knihovne ktera se pouziva skoro vsude kde je java a potrebujete
logovat.
Popis problem treba tady
https://www.wired.com/story/log4j-flaw-hacking-internet/
Je potreba si uvedomit, ze je to opravdu skoro vsude a nase firewally
zachycuji aktivni pouzivani techto exploit. Jinak bych sem nepsal.
Sam jsem doma upravoval kde co pocinaje minecraftem (i klient) a
konce domaci automatizaci
Oprav existuje nekolik - dat posledni verzi pridat java parametr
-Dlog4j2.formatMsgNoLookups=true pripadne se da kuchnout jarko a
udelat tam vymenu classy
J.V.
_____
HW-list mailing list - sponsored by www.HW.cz <http://www.HW.cz>
Hw-list na list.hw.cz <mailto:Hw-list na list.hw.cz>
http://list.hw.cz/mailman/listinfo/hw-list
--
Jindroush <mailto:jindroush na seznam.cz> <jindroush na seznam.cz>
_____
HW-list mailing list - sponsored by www.HW.cz <http://www.HW.cz>
Hw-list na list.hw.cz <mailto:Hw-list na list.hw.cz>
http://list.hw.cz/mailman/listinfo/hw-list
_______________________________________________
HW-list mailing list - sponsored by www.HW.cz <http://www.HW.cz>
Hw-list na list.hw.cz <mailto:Hw-list na list.hw.cz>
http://list.hw.cz/mailman/listinfo/hw-list
--
Jindroush <mailto:jindroush na seznam.cz> <jindroush na seznam.cz>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20211215/96db12ec/attachment.htm>
Další informace o konferenci Hw-list