[OT] Log4j - klice od pulky internetu

[Jindroush]

On 15.12.2021 20:14, Petr Simek wrote:
> On Wed, 15 Dec 2021, Jindroush wrote:
>
>> Cokoli. Proste prinuti tu knihovnu, at neco stahne z internetu a 
>> spusti, pod pravy toho serveru. Samozrejme se bude lisit kus od kusu, 
>> jak zavazne to
>
> Prinuti je v tomhle pripade silne slovo. Tu knihovnu snad psaly opice
> ze tam zadelaly funkci kdy se do pruchozich dat da vlozit povel ke
> stazeni a spusteni kodu odkudkoliv. Navic presto ze tu funkci nikdo moc
> nepouziva tak je default zapnuta. Tohle mi na knihovnu pro zpracovani
> logu prijde jako naprosto uchylna vec. 
Tak jednoduchy to samozrejme neni, je to jako vzdy retezec nedostatku ve 
flexibilnim, prakticky neotestovatelnem navrhu. Takze tam nikdo nic 
"nezadelal", ale proste pres tu flexibilitu tato vlastnost lze vyuzit.

Log4j includes a Lookup mechanism that could be used to make requests 
through special syntax in a format string. For example, it can be used 
to request various parameters such as the version of the Java 
environment via /${java:version}/, etc. Then, by specifying the /jndi/ 
key in the string, the Lookup mechanism uses JNDI API. By default, all 
requests are done using the prefix /java:comp/env//; however, the 
authors implemented the option of using a custom prefix by means of a 
colon symbol in the key. This is where the vulnerability lies: if 
/jndi:ldap:/// is used as the key, the request goes to the specified 
LDAP server. Other communication protocols, such as LDAPS, DNS and RMI, 
can also be used.

-- 
Jindroush <jindroush na seznam.cz>

------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20211215/2d815795/attachment.htm>