[OT] Log4j - klice od pulky internetu
Jindroush
jindroush na seznam.cz
Středa Prosinec 15 20:24:39 CET 2021
On 15.12.2021 20:14, Petr Simek wrote:
> On Wed, 15 Dec 2021, Jindroush wrote:
>
>> Cokoli. Proste prinuti tu knihovnu, at neco stahne z internetu a
>> spusti, pod pravy toho serveru. Samozrejme se bude lisit kus od kusu,
>> jak zavazne to
>
> Prinuti je v tomhle pripade silne slovo. Tu knihovnu snad psaly opice
> ze tam zadelaly funkci kdy se do pruchozich dat da vlozit povel ke
> stazeni a spusteni kodu odkudkoliv. Navic presto ze tu funkci nikdo moc
> nepouziva tak je default zapnuta. Tohle mi na knihovnu pro zpracovani
> logu prijde jako naprosto uchylna vec.
Tak jednoduchy to samozrejme neni, je to jako vzdy retezec nedostatku ve
flexibilnim, prakticky neotestovatelnem navrhu. Takze tam nikdo nic
"nezadelal", ale proste pres tu flexibilitu tato vlastnost lze vyuzit.
Log4j includes a Lookup mechanism that could be used to make requests
through special syntax in a format string. For example, it can be used
to request various parameters such as the version of the Java
environment via /${java:version}/, etc. Then, by specifying the /jndi/
key in the string, the Lookup mechanism uses JNDI API. By default, all
requests are done using the prefix /java:comp/env//; however, the
authors implemented the option of using a custom prefix by means of a
colon symbol in the key. This is where the vulnerability lies: if
/jndi:ldap:/// is used as the key, the request goes to the specified
LDAP server. Other communication protocols, such as LDAPS, DNS and RMI,
can also be used.
--
Jindroush <jindroush na seznam.cz>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20211215/2d815795/attachment.htm>
Další informace o konferenci Hw-list