[OT] Log4j - klice od pulky internetu

Jindroush jindroush na seznam.cz
Středa Prosinec 15 18:51:19 CET 2021 

Jasne. Ale tam vsude je treba, aby existovala moznost, aby utocnik mohl 
ridit to, co se zaloguje. Coz u serveru, kteremu jdou podvrhnout 
libovolne requesty, lze snadno. Daleko hur se to bude podvrhavat 
klientum, typicky fixne namirenym na nejaky provozovatelem rizeny obsah.
J.

On 15.12.2021 18:41, konference na vojtek.biz wrote:
>
> Nezapomente taky na Tomcat jako aplikacni server, pod kterym bezi dnes 
> kde co, pripadne Jetty oblibena jako embeded aplikac a další jako 
> weblogic, GlassFish …
>
> Je toho proste moc. Nejhorsi na tomhle je, ze nevite kde vsude to muze 
> bezet. Naprosto nejvic ve mne dloube jestli to nahodou nemam treba 
> v TV, prehravaci …
>
> Jeste jedna perlicka verze knihovny Log4J 2.15 opravuje 0 day problem, 
> ale vcera v ni nasli dalsi chybu, kterou opravuje 2.16
>
> Nastesti tato nova chyba neni prilis zavazna. Kazdopadne pokud menite 
> na novou verzi je momentalne doporucena 2.16
>
> J.V.
>
> *From:* Hw-list <hw-list-bounces na list.hw.cz> *On Behalf Of *Jindroush
> *Sent:* Wednesday, December 15, 2021 5:57 PM
> *To:* HW-news <hw-list na list.hw.cz>
> *Subject:* Re: [OT] Log4j - klice od pulky internetu
>
> Ano, Apache Tomcat je prakticky 'webserver pro javu', takze toho, a 
> cehokoli bezicim nad nim, se to temer jiste tyka. Z vasi poznamky mi 
> nebylo jasne, zda nemyslite prave Apache httpd, tj. 'bezny webserver'.
> J.
>
> On 15.12.2021 17:50, Josef Zeman wrote:
>
>     Je to dost rozsáhlá serverová část měřicího systému, které je
>     Tomcat jen drobnou součástí ... V celku skoro není k nalezení.
>     Klienti na něj přistupují přes webové rozhraní. Zrovna tahle
>     knihovna tam má dost práce.
>
>     Zeman
>
>     15. prosince 2021 15:44:20 UTC, Jindroush <jindroush na seznam.cz>
>     <mailto:jindroush na seznam.cz> napsal:
>
>         Mirne upresneni v mezich zakona:
>
>         Apache je dnes nadace, ktera zastresuje radu ruznych projektu.
>
>         Kdysi se pojmem Apache oznacoval prevazne jejich httpd server.
>
>         Chyba se tyka javove knihovny Log4j vyvijene Apache. Chyba se netyka
>
>         weboveho httpd serveru.
>
>         Takze pokud je soucasti neceho Apache httpd, nemelo by se ho to varovani
>
>         tykat, ne?
>
>         J.
>
>         On 15.12.2021 16:39, Josef Zeman wrote:
>
>               Dobrý den
>
>               Díky za informaci. O den předběhla naše security, takže když poslali
>
>               varování, tak jsem mohl obratem odpovědět, že na mých strojích je už
>
>               hotovo. Dodavatel jednoho "postiženého" systému odpověděl, že nová
>
>               verze, která problém odstraní, bude v prvním čtvrtletí :-) Jeho
>
>               součástí je Apache. Update knihovny na 2.16.0 nic nerozbil.
>
>               Zeman
>
>                   Trochu si zaspamuju, ale je to opravdu prusvih.
>
>                   Pravdepodobne jste o tom uz  slyseli - jedna se o problem v apache
>
>                   knihovne ktera se pouziva skoro vsude kde je java a potrebujete
>
>                   logovat.
>
>                   Popis problem treba tady
>
>                   https://www.wired.com/story/log4j-flaw-hacking-internet/  <https://www.wired.com/story/log4j-flaw-hacking-internet/>
>
>                   Je potreba si uvedomit, ze je to opravdu skoro vsude a nase firewally
>
>                   zachycuji aktivni pouzivani techto exploit. Jinak bych sem nepsal.
>
>                   Sam jsem doma upravoval kde co pocinaje minecraftem (i klient) a
>
>                   konce domaci automatizaci
>
>                   Oprav existuje nekolik - dat posledni verzi  pridat java parametr
>
>                   -Dlog4j2.formatMsgNoLookups=true pripadne se da kuchnout jarko a
>
>                   udelat tam vymenu classy
>
>                   J.V.
>
>             ------------------------------------------------------------------------
>
>             HW-list mailing list  -  sponsored bywww.HW.cz  <http://www.HW.cz>
>
>             Hw-list na list.hw.cz  <mailto:Hw-list na list.hw.cz>
>
>             http://list.hw.cz/mailman/listinfo/hw-list  <http://list.hw.cz/mailman/listinfo/hw-list>
>
>         -- 
>
>         Jindroush<jindroush na seznam.cz>  <mailto:jindroush na seznam.cz>
>
>         ------------------------------------------------------------------------
>
>         HW-list mailing list  -  sponsored bywww.HW.cz  <http://www.HW.cz>
>
>         Hw-list na list.hw.cz  <mailto:Hw-list na list.hw.cz>
>
>         http://list.hw.cz/mailman/listinfo/hw-list  <http://list.hw.cz/mailman/listinfo/hw-list>
>
>
>
>     _______________________________________________
>
>     HW-list mailing list  -  sponsored bywww.HW.cz  <http://www.HW.cz>
>
>     Hw-list na list.hw.cz  <mailto:Hw-list na list.hw.cz>
>
>     http://list.hw.cz/mailman/listinfo/hw-list  <http://list.hw.cz/mailman/listinfo/hw-list>
>
> -- 
> Jindroush<jindroush na seznam.cz>  <mailto:jindroush na seznam.cz>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


-- 
Jindroush <jindroush na seznam.cz>

------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20211215/be242f0c/attachment-0001.htm>

Další informace o konferenci Hw-list