I
не гоаоря уж о том, что два слоя фольги в два раза лучше защищают от 5g
Size: a a a
2021 December 12
MS
Тогда волны головного мозга могут войти в резонанс при определенных мыслях. Если скручивать шапочку во время просмотра первого канала, то резонанс, сопровождаемый головной болью, возникнет при мыслях о навальном
NK
Пока все люди как люди отдыхают, весь IT мир трясёт от log4j.
Если вы вдруг всё проспали, вот очень быстрый ликбез: есть такая штука Apache Foundation. Их продукты используются примерно везде и всюду. У есть у них популярный логгер Log4j, в котором нашли RCE уязвимость, которая на самом деле зарыта намного глубже в сервисах Java. Как она вызывается? В лог должна попасть нужная строка. Как её туда положить? Да просто обратиться к серверу и он её залогирует =)
Так что да, вокруг натурально пожар, который тушат все. И если обычные сервера с апачем можно относительно просто проапгрейдить, то у ребят использующих его где-то внутри своих творений, сейчас довольно большие проблемы.
Ситуация настолько адская, что атаки сейчас прилетают через банальный user-agent, через названия сетей и вообще через всё, что может попасть в логи. Клаудфлер даже отдельные фильтры настроил, чтобы ну хоть как-то помочь отбиваться.
https://blog.cloudflare.com/how-cloudflare-security-responded-to-log4j2-vulnerability/
Если вы вдруг всё проспали, вот очень быстрый ликбез: есть такая штука Apache Foundation. Их продукты используются примерно везде и всюду. У есть у них популярный логгер Log4j, в котором нашли RCE уязвимость, которая на самом деле зарыта намного глубже в сервисах Java. Как она вызывается? В лог должна попасть нужная строка. Как её туда положить? Да просто обратиться к серверу и он её залогирует =)
Так что да, вокруг натурально пожар, который тушат все. И если обычные сервера с апачем можно относительно просто проапгрейдить, то у ребят использующих его где-то внутри своих творений, сейчас довольно большие проблемы.
Ситуация настолько адская, что атаки сейчас прилетают через банальный user-agent, через названия сетей и вообще через всё, что может попасть в логи. Клаудфлер даже отдельные фильтры настроил, чтобы ну хоть как-то помочь отбиваться.
https://blog.cloudflare.com/how-cloudflare-security-responded-to-log4j2-vulnerability/
$
Эээээ… так дело не в Apache, а в java сервисах использующих этот логгер. Из поста можно подумать, что вы про веб-сервер
I
какой у вас ник интересный
NK
ну как бы да, но логер апачовый и неокрепшие умы подвиснут на этом переходе
DM
А что, апач где то еще используется кроме махрового легаси ? Он что, уже в куб умеет ингресом ? Или скейлится на уровне сервиса ?
А слоупоки должны страдать.
А слоупоки должны страдать.
KN
Хорошо что не использую Апач
$
Окей босс, вы сейчас обосрали вот такой примерно список компаний/сервисов: https://github.com/YfryTchsGD/Log4jAttackSurface
DM
И что с того ?
Апач от этого станет менее легаси ?
Апач от этого станет менее легаси ?
$
Тут корректнее отказываться от java в целом, проблема куда глубже и в JNDI
ИА
Веб сервер Apache (httpd) как раз не использует Log4j
$
$
БО
Что с того, что он используется в основном в махровом легаси?
$
Вот я же говорил, что подумают про веб-сервер, apache foundation - это комьюнити, а проблема в конкретном продукте (Log4j) и исторических событиях/костылях (JNDI). Зря вы так
LM
log4j - это tomcat, а не апач. хотя и апач фаундейш
LM
ну и много, что еще log4j использует.