Fórumok
Néhány napja felfedeztek egy sérülékenységet az egyik legelterjedtebb Javás loggoló könyvtárban, az Apache log4j-ben. Ha egy érintett Java alkalmazás loggol egy támadótól kapott bizonyos stringet, akkor a keretrendszer szépen letölt egy bármilyen távoli helyről egy class fájlt és végrehajtja. CVE-2021-44228 az azonosítója, a legnagyobb 10.0-ás CVSS értéket kapta. Bárki érintett lehet, aki Java alkalmazásokat futtat. Hivatalos infó: https://logging.apache.org/log4j/2.x/security.html. Kicsit részletesebb elemzés: https://snyk.io/blog/log4j-rce-log4shell-vulnerability-cve-2021-4428/.
Hozzászólások
Minecraft miatt talaltak meg, +1 oda.
Szar dolog amerikai munkaadónál IT szekuriti beosztásban lenni. Azokat most mind dolgoztatták a gazdáik egész hétvégén (kevés nolifer IT szekus írta twitteren h. pusztán szakmabuzulásból vidáman dolgozta át a 48 órát a mostani hétvégén). Dehát usa-ban kolbászból van a kerítés, ugye?
???
A biztonsági rést csak Amerikában lehet kihasználni?
Nagyjából nálunk is mindenhol patchelés ment hétvégén.
csak nálunk a szombat nem volt hétvége :)
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Oncallnak hívják, jól megfizetik, és senki se csodálkozzon, ha este vagy hétvégén van emiatt teendő.
Ha valóban csak oncall beosztású (és ennek megfelelően kompenzált) embereket rángattak be.
Ami kizárt..
Hat, mi penteken napkozben javitottuk, aztan tegnap ejjel kezdtek el irogatni az amcsik, hogy tudunk-e rola, hogy van ilyen, es mikor kezdjuk javitani.
Kellett volna mondani hogy kb. 80 ora melo lesz vele. Het kozepen kezdjuk... Talan.
Mi van? Magyar cégeknél, bankoknál, stb. ugyanez ment: ez egy 10-ből 10-es hiba, javítani kell, aki él és mozog, ezen dolgozik.
Öö..ez barokkos túlzás.
Magyar bankok még log4j 1.x-nél tartanak... :)
az legalabb nem erintett :D