Varias agencias nacionales de ciberseguridad publicaron alertas sobre el tema, y los expertos avisaban de lo fácil que era exponer especialmente a grandes empresas que usan esa librería de forma habitual. La propia Apache Software Foundation calificó la vulnerabilidad —
corregida en Log4j 2.15.0 — con un índice de peligrosidad de 10 sobre 10. | Relacionada:
menea.me/251c8
old.meneame.net/c/34377344
Hay pruebas de ataque a Apple cambiando el nombre de usuario de iCloud (dime cómo paras eso con un waf).
Al final todo lo que llegue al logger lo hace vulnerable, pero la petición puede ir en el body, o incluso en el path de la url.
(sí, ya sé que hoy estoy sembrado)
Nginx sobra un rato.
Soy yo, o esto no tiene el más mínimo sentido?
Imagino que han traducido framework por "entorno de trabajo" y "log" por "registro de actividad que permite monitorizar la actividad" (sic), ¿pero solo en Apache?
Me da que el que ha escrito eso ha visto poco código.
Esto es como si todos los países hubieran actuado bien con el coronavirus (empezado por su el país de origen), que seguramente la gente estaría echando humo de que los hubieran confinado por algo más leve que una gripe.
Creo que lo de menos son los sistemas que estan de cara a internet. Pero hasta aqui puedo leer...
github.com/corretto/hotpatch-for-apache-log4j2
Esto puede ser util para aquellos que tienen servicios criticos que no pueden parar fuera de ventanas de mantenimiento, casos de aplicaciones que se distribuyen con todas sus dependencias y para las que aun no hay un parche o casos donde copias de las clases de log4j estan presentes en un namespace distinto
Aun asi, eso no significa que utilizando una version de OpenJDK mas nueva se este completamente a salvo. La vulnerabilidad en Log4j sigue siendo critica y la recomendacion es actualizar Log4j
En todas partes
O desactivar jdni directamente
El ciclo es trabajar sobre la version SNAPSHOT, y cuando se han desarrollado todas las caracteristicas que se quieren en la version a publicar, se marca como RC, y se prueba, y se prueba, y se prueba, lo nuevo y lo viejo, o asi deberia ser. Si se encuentra un problema, se arregla, y se hace una RC2, y se prueba de nuevo todo. Cuando se confia en el resultado, se crea la version sin sufijos: 2.15.0. Si sobre esta hace falta aplicar algun cambio menor, corregir bugs, o lo que sea que no signifique para el equipo una caracteristica digna de una version nueva, se crea la version 2.15.1. Logicamente, antes de 2.15.1 habra habido una 2.15.10-R1
Asi que resumiendo, el hecho de que haya habido una RC2 a mi me tranquiliza al saber que la RC1 fue testeada al menos un poco y que alguien levanto la mano para que no se publicara con algun problema
Así que no me lo tomaría tan a la ligera el efecto 2000.
En el 98 y 99 se contrataron a saco a gente para evitar problemas bastante graves en Bcos,hacienda,tráfico y más lugares,así que adivina como estaba la cosa.