Es que es la polla, le puedes mandar cualquier .class vía http al apache o nginx preguntando lo que quieras o poniéndole a hacer trabajillos. Yo diría que es un 11 sobre 10.

El apocalipsis informático del año.

Just Java....

#1 Apache y nginx, ambos escritos en C. ¿Qué dices que te van a ejecutar?

#1 se puede parar con un waf filtrando el header de la petición maliciosa

Pues para llevar cuatro días, todavía no se ha acabado el mundo. ¿Se acabará mañana, cuando haya todavía más sistemas parcheados?

#5 Las empresas apenas invierten en tener un waf en condiciones. Así pasa luego claro

#7 las que yo conozco si, cloudflare te da waf gratis por ejemplo

Lo que ya decía aquí:

old.meneame.net/c/34377344

#5 da igual el waf porque el ataque puede usar otros vectores que para un waf deberían ser legítimos (a no ser que se meta a parsear todo el paquete http, incluido el body)

Hay pruebas de ataque a Apple cambiando el nombre de usuario de iCloud (dime cómo paras eso con un waf).

Al final todo lo que llegue al logger lo hace vulnerable, pero la petición puede ir en el body, o incluso en el path de la url.

Después de la lava, vino el Java

(sí, ya sé que hoy estoy sembrado)

#4 Apache Tomcat.
Nginx sobra un rato.

#9 y yo salvando el planeta sin saberlo...

#10 #5 Hasta el server del Minecraft ha sido vulnerable.

¿Tanto se usa el log4j este?.

Otra catástrofe de dimensiones descomunales que acabarán con el universo... como el síndrome del año 2000 que iba a colapsar toda la sociedad... y al final si no es porque le dieron tanto bombo la mayoría ni nos enteramos.

"Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación"

Soy yo, o esto no tiene el más mínimo sentido?

Imagino que han traducido framework por "entorno de trabajo" y "log" por "registro de actividad que permite monitorizar la actividad" (sic), ¿pero solo en Apache?

Me da que el que ha escrito eso ha visto poco código.

#16 A lo mejor porque le dieron tanto bombo, no sufriste los efectos. Además, la sociedad no estaba tan digitalizada.

Esto es como si todos los países hubieran actuado bien con el coronavirus (empezado por su el país de origen), que seguramente la gente estaría echando humo de que los hubieran confinado por algo más leve que una gripe.

#6 Es que el problema es el uso en redes que has penetrado, pero que no habia forma de expandirse. Ahora si y es facilisimo.

Creo que lo de menos son los sistemas que estan de cara a internet. Pero hasta aqui puedo leer...

#15 SÍ

#4 No puedes usar un ftp o un scp para dejar el payload y luego usar un java para ejecutarlo?

#9 Si dices java tres veces, aparece Skynet y se termina el mundo

Desde el equipo de AWS Corretto hemos sacado una utilidad que permite parchear este fallo de seguridad en caliente, sin necesidad de reiniciar la maquina virtual de java:
github.com/corretto/hotpatch-for-apache-log4j2

Esto puede ser util para aquellos que tienen servicios criticos que no pueden parar fuera de ventanas de mantenimiento, casos de aplicaciones que se distribuyen con todas sus dependencias y para las que aun no hay un parche o casos donde copias de las clases de log4j estan presentes en un namespace distinto

#1 Eso solo es posible contra versiones de OpenJDK que esten configuradas para aceptarlo. Desde OpenJDK 8u191 la configuracion por defecto es deshabilitarlo. Como referencia, esa version tiene mas de tres años.

Aun asi, eso no significa que utilizando una version de OpenJDK mas nueva se este completamente a salvo. La vulnerabilidad en Log4j sigue siendo critica y la recomendacion es actualizar Log4j

#2 En el top de la decada para mi, con Heartbleed y Shellshock

#15 twitter.com/theasf/status/1400875147163279374

En todas partes

#8 una cosa es poner un waf y otra configurarlo

#21 Hombre, si permites a todo quisque subir cosas por FTP o scp esta vulnerabilidad es tu menor problema

Lo mejor es que sacaron el arreglo en la versión 2.15.0 y al rato la volvieron a romper . Así que hay que instalarse la 2.15.0-rc2. Hasta que la vuelvan a romper y toque una nueva, supongo.

#16 porque algunos nos pasamos muchas horas revisando y certificando que no pasase nada.

Y sin exagerar

#30 Sí, eres viejo. Seguro que fuiste uno de esos que pasaste la nochevieja de ese año en una oficina. Gracias.

#29 Es lo que tiene cuando parcheas y publicas rápido.

#24 eso o deshabilitar la la ejecución desde jdni con la variable "log4j2.formatMsgNoLookups=true"

O desactivar jdni directamente

#32 Algunos nos libramos de la guardia de ese día de milagro.

Me debato entre duplicada (ya se enviaron varias noticias hablando sobre la vulnerabilidad y desglosándola) o sensacionalista, por el titular de mierda a lo Piqueras.

#2 del mes más bien.

#6 no les estropees el clickbait hombre, que quedan muchas viejas por asustar aún.

#17 es xataka, qué esperas? que sepan de lo que hablan?

#29 Llegue tarde a la fiesta y no segui la publicacion, pero dejame explicar algo: RC significa release candidate, en este caso, la segunda. Cadidata a ser release oficial.

El ciclo es trabajar sobre la version SNAPSHOT, y cuando se han desarrollado todas las caracteristicas que se quieren en la version a publicar, se marca como RC, y se prueba, y se prueba, y se prueba, lo nuevo y lo viejo, o asi deberia ser. Si se encuentra un problema, se arregla, y se hace una RC2, y se prueba de nuevo todo. Cuando se confia en el resultado, se crea la version sin sufijos: 2.15.0. Si sobre esta hace falta aplicar algun cambio menor, corregir bugs, o lo que sea que no signifique para el equipo una caracteristica digna de una version nueva, se crea la version 2.15.1. Logicamente, antes de 2.15.1 habra habido una 2.15.10-R1

Asi que resumiendo, el hecho de que haya habido una RC2 a mi me tranquiliza al saber que la RC1 fue testeada al menos un poco y que alguien levanto la mano para que no se publicara con algun problema

#34 Esa variable solo es valida para log4j2.10 y superior, en versiones anteriores no esta presente. Nuestro parche bloquea llamadas jndi que se hacen a base de interpretar Strings

#1 si es gorda pero tanto como para romper internet como dice el titular......

#29 #40 Ya esta la 2.16.0 circulando por ahi

#27 esa te la compro

Mandatory XKCD  

#17 No se para que cojones me he pegado entonces la paliza con los websphere.

#16 Me pase horas y horas trabajando como un cabrón junto con otras docenas de programadores en COBOL para intentar que no ocurriese nada grave y la gente no se diera cuenta (me imagino que en otros entornos pasaría igual).

Así que no me lo tomaría tan a la ligera el efecto 2000.

En el 98 y 99 se contrataron a saco a gente para evitar problemas bastante graves en Bcos,hacienda,tráfico y más lugares,así que adivina como estaba la cosa.

#6 Se acabará en el año 3000 cuando los sistemas informáticos no sepan reaccionar al cambio de milenio. Eso si no ocurre antes en el 2100, 2200, 2300, etc.

#45 Esperemos que ese señor de Nebraska esté en activo para el año 2038 (Fin de los Días en UNIX)

#16 Yo tuve que parchear algunas aplicaciones para que no hubiera incidencias relacionadas en nada que dependiera de mí.

#28 Perdon, no habia leido bien lo vuln, y el comentario de # 4 no tiene sentido una vez que hecho RTFM.

#42 ni de coña vamos. La auténtica lacra actualmente son los ransomware. La putada es que está disponible entre las librerías de Apache y hay millones de personas descargando librerías todos los días de ahí para implementar nuevas apps, entonces pues debe haberse extendido como la pólvora. De hecho, en mi caso casi pillo por los pelos y cuando lo vi me cagué porque en la empresa desde por la mañana ya empezaron a dar la alarma. Por suerte, es la librería de Java y no de JavaScript.