Катастрофическая уязвимость в Apache Log4j, затрагивающая многие Java-проекты

0

3

Доброго времени суток

Тут внезапно появилась огромная жопа, надо исправлять. Если кому не лень, запилите новость

https://www.opennet.ru/opennews/art.shtml?num=56319

В Apache Log4j, популярном фреймворке для организации ведения логов в Java-приложениях, выявлена критическая уязвимость, позволяющая выполнить произвольный код при записи в лог специально оформленного значения в формате «{jndi:URL}». Атака может быть проведена на Java-приложения, записывающие в лог значения, полученные из внешних источников, например, при выводе проблемных значений в сообщениях об ошибках.

Ссылка

←	Что делать если снаружи порт висит, а в процессах не видно кто висит на порту?

l4proto в nftables

→

На всякий случай, sudo cast maxcom

router ★★★★★
(10.12.21 11:09:45 MSK) автор топика

На относительно современных JVM по дефолту не работает, паниковать не надо. На древних версиях log4j2 скорей всего тоже. Чтобы работало, надо запускать JVM с флажком -Dcom.sun.jndi.ldap.object.trustURLCodebase=true, который вряд ли многим нужен.

~~Legioner~~ ★★★★★
(10.12.21 11:15:29 MSK)
Последнее исправление: Legioner 10.12.21 11:17:09 MSK (всего исправлений: 3)

Ответ на: комментарий от router 10.12.21 11:09:45 MSK

Я уже обновил, thanx.

maxcom ★★★★★
(10.12.21 11:25:04 MSK)

Ссылка

Ответ на: комментарий от Legioner 10.12.21 11:15:29 MSK

Там довольно мутная история с тем на каких комбинациях JVM/log4j она проявляется, думаю лучше обновить везде чтобы не рисковать.

maxcom ★★★★★
(10.12.21 11:27:15 MSK)

Ссылка

я вот сейчас портирую к себе QuickJS и офигеваю с багов

quickjs.c:20350 и далее.

        if (p >= s->buf_end)
            goto invalid_char;
        c = *p;
        if (c < 0x20) {
            ...
            if (sep == '`') {
                if (c == '\r') {
                    if (p[1] == '\n')//хоба за пределы буфера
                        p++;
                    c = '\n';
                }
            } else if (c == '\n' || c == '\r')
                goto invalid_char;
        }
        p++;
        if (c == sep)
            break;
        if (c == '$' && *p == '{' && sep == '`') {
                      //и еще раз за пределы буфера
            /* template start or middle part */
            p++;
            break;
        }
        if (c == '\\') {
            c = *p; //Бог троицу любит, 
                    //поэтому еще раз за пределы буфера

три раза потенциально за пределы буфера сходили на ровном месте. так что ничего удивительного в багах таких нету. шерето на самом деле много где встречается.

salozar
(11.12.21 05:38:03 MSK)

Ответ на: комментарий от salozar 11.12.21 05:38:03 MSK

Если s->buf_end указывает на завершающий \0, то никакого переполнения не будет.

~~u-235~~ ★
(11.12.21 07:07:04 MSK)

Ссылка

Java с самого своего создания была решетом, ее даже в браузерах запретили ещё раньше, чем flash. Можно ли было ожидать чего-то иного?

anonymous
(11.12.21 07:49:28 MSK)

Им пользуются полтора землекопа. В самой JRE есть собственный фреймворк логирования.

iZEN ★★★★★
(11.12.21 10:43:51 MSK)

Ответ на: комментарий от anonymous 11.12.21 07:49:28 MSK

Java с самого своего создания была решетом

Ты что-то путаешь, братец. Может попутал JavaScript с Java?

запретили ещё раньше, чем flash.

Апплеты Java были гораздо безопаснее дырявого Flash.

Перестали использовать потому, что смузихлёбы не воспринимали панель приложения на Web-странице - это у них вызывало когнитивный диссонанс: «Как это умудриться запихнуть формочку с кнопочками из десктопа в браузер? Не, такое никому не надо - уберём».

iZEN ★★★★★
(11.12.21 10:46:02 MSK)
Последнее исправление: iZEN 11.12.21 10:49:30 MSK (всего исправлений: 1)

Ответ на: комментарий от iZEN 11.12.21 10:43:51 MSK

Им пользуются полтора землекопа. В самой JRE есть собственный фреймворк логирования.

Очень давно не видел чтобы его кто-то использовал. Видел во времена JSP, J2EE и прочих ужасов энтерпрайза. Кстати то что навеки поселилось в JRE это пререлизная версия log4j.

maxcom ★★★★★
(11.12.21 11:10:14 MSK)

Ссылка

Ответ на: комментарий от iZEN 11.12.21 10:46:02 MSK

Вот не надо. Про безопасность не скажу. И даже идея была неплохая. Но вот реализация очень неудачная

Перестали использовать потому

Что работает это чудо в ограниченном диапазоне версий jre. И это реально задалбывает - держать три браузера (с плагином 1.4, 6 и 8) в контейнерах для работы с разным железом. Сдохли жабаапплеты в браузере - и хвала всем богам. И плюс отдельные разработчики (не будем показывать пальцем на ibm) ухитрялись прибивать свои java приложения к винде, так что часть функций rsa работала только в оффтопике

router ★★★★★
(11.12.21 11:39:06 MSK) автор топика
Последнее исправление: router 11.12.21 11:42:25 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от iZEN 11.12.21 10:43:51 MSK

Ты наверное что то попутал, все с точностью до наоборот, он появился то в основном по причине того, что стандартное логирование из джавы мало кого устраивало.

anonymous
(11.12.21 11:39:17 MSK)