Varias agencias nacionales de ciberseguridad publicaron alertas sobre el tema, y los expertos avisaban de lo fácil que era exponer especialmente a grandes empresas que usan esa librería de forma habitual. La propia Apache Software Foundation calificó la vulnerabilidad — corregida en Log4j 2.15.0 — con un índice de peligrosidad de 10 sobre 10. | Relacionada: http://menea.me/251c8
Esto puede ser util para aquellos que tienen servicios criticos que no pueden parar fuera de ventanas de mantenimiento, casos de aplicaciones que se distribuyen con todas sus dependencias y para las que aun no hay un parche o casos donde copias de las clases de log4j estan presentes en un namespace distinto
#1:
Es que es la polla, le puedes mandar cualquier .class vía http al apache o nginx preguntando lo que quieras o poniéndole a hacer trabajillos. Yo diría que es un 11 sobre 10.
#17:
"Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación"
Soy yo, o esto no tiene el más mínimo sentido?
Imagino que han traducido framework por "entorno de trabajo" y "log" por "registro de actividad que permite monitorizar la actividad" (sic), ¿pero solo en Apache?
Me da que el que ha escrito eso ha visto poco código.
Es que es la polla, le puedes mandar cualquier .class vía http al apache o nginx preguntando lo que quieras o poniéndole a hacer trabajillos. Yo diría que es un 11 sobre 10.
#c-28" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3595442/order/28">#28 Perdon, no habia leido bien lo vuln, y el comentario de # 4 no tiene sentido una vez que hecho RTFM.
#5 da igual el waf porque el ataque puede usar otros vectores que para un waf deberían ser legítimos (a no ser que se meta a parsear todo el paquete http, incluido el body)
Hay pruebas de ataque a Apple cambiando el nombre de usuario de iCloud (dime cómo paras eso con un waf).
Al final todo lo que llegue al logger lo hace vulnerable, pero la petición puede ir en el body, o incluso en el path de la url.
#1 Eso solo es posible contra versiones de OpenJDK que esten configuradas para aceptarlo. Desde OpenJDK 8u191 la configuracion por defecto es deshabilitarlo. Como referencia, esa version tiene mas de tres años.
Aun asi, eso no significa que utilizando una version de OpenJDK mas nueva se este completamente a salvo. La vulnerabilidad en Log4j sigue siendo critica y la recomendacion es actualizar Log4j
#34 Esa variable solo es valida para log4j2.10 y superior, en versiones anteriores no esta presente. Nuestro parche bloquea llamadas jndi que se hacen a base de interpretar Strings
#42 ni de coña vamos. La auténtica lacra actualmente son los ransomware. La putada es que está disponible entre las librerías de Apache y hay millones de personas descargando librerías todos los días de ahí para implementar nuevas apps, entonces pues debe haberse extendido como la pólvora. De hecho, en mi caso casi pillo por los pelos y cuando lo vi me cagué porque en la empresa desde por la mañana ya empezaron a dar la alarma. Por suerte, es la librería de Java y no de JavaScript.
Desde el equipo de AWS Corretto hemos sacado una utilidad que permite parchear este fallo de seguridad en caliente, sin necesidad de reiniciar la maquina virtual de java: https://github.com/corretto/hotpatch-for-apache-log4j2
Esto puede ser util para aquellos que tienen servicios criticos que no pueden parar fuera de ventanas de mantenimiento, casos de aplicaciones que se distribuyen con todas sus dependencias y para las que aun no hay un parche o casos donde copias de las clases de log4j estan presentes en un namespace distinto
"Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación"
Soy yo, o esto no tiene el más mínimo sentido?
Imagino que han traducido framework por "entorno de trabajo" y "log" por "registro de actividad que permite monitorizar la actividad" (sic), ¿pero solo en Apache?
Me da que el que ha escrito eso ha visto poco código.
Lo mejor es que sacaron el arreglo en la versión 2.15.0 y al rato la volvieron a romper . Así que hay que instalarse la 2.15.0-rc2. Hasta que la vuelvan a romper y toque una nueva, supongo.
#29 Llegue tarde a la fiesta y no segui la publicacion, pero dejame explicar algo: RC significa release candidate, en este caso, la segunda. Cadidata a ser release oficial.
El ciclo es trabajar sobre la version SNAPSHOT, y cuando se han desarrollado todas las caracteristicas que se quieren en la version a publicar, se marca como RC, y se prueba, y se prueba, y se prueba, lo nuevo y lo viejo, o asi deberia ser. Si se encuentra un problema, se arregla, y se hace una RC2, y se prueba de nuevo todo. Cuando se confia en el resultado, se crea la version sin sufijos: 2.15.0. Si sobre esta hace falta aplicar algun cambio menor, corregir bugs, o lo que sea que no signifique para el equipo una caracteristica digna de una version nueva, se crea la version 2.15.1. Logicamente, antes de 2.15.1 habra habido una 2.15.10-R1
Asi que resumiendo, el hecho de que haya habido una RC2 a mi me tranquiliza al saber que la RC1 fue testeada al menos un poco y que alguien levanto la mano para que no se publicara con algun problema
Otra catástrofe de dimensiones descomunales que acabarán con el universo... como el síndrome del año 2000 que iba a colapsar toda la sociedad... y al final si no es porque le dieron tanto bombo la mayoría ni nos enteramos.
#16 A lo mejor porque le dieron tanto bombo, no sufriste los efectos. Además, la sociedad no estaba tan digitalizada.
Esto es como si todos los países hubieran actuado bien con el coronavirus (empezado por su el país de origen), que seguramente la gente estaría echando humo de que los hubieran confinado por algo más leve que una gripe.
#16 Me pase horas y horas trabajando como un cabrón junto con otras docenas de programadores en COBOL para intentar que no ocurriese nada grave y la gente no se diera cuenta (me imagino que en otros entornos pasaría igual).
Así que no me lo tomaría tan a la ligera el efecto 2000.
En el 98 y 99 se contrataron a saco a gente para evitar problemas bastante graves en Bcos,hacienda,tráfico y más lugares,así que adivina como estaba la cosa.
#6 Se acabará en el año 3000 cuando los sistemas informáticos no sepan reaccionar al cambio de milenio. Eso si no ocurre antes en el 2100, 2200, 2300, etc.
Me debato entre duplicada (ya se enviaron varias noticias hablando sobre la vulnerabilidad y desglosándola) o sensacionalista, por el titular de mierda a lo Piqueras.
Comentarios
Es que es la polla, le puedes mandar cualquier .class vía http al apache o nginx preguntando lo que quieras o poniéndole a hacer trabajillos. Yo diría que es un 11 sobre 10.
#1 Apache y nginx, ambos escritos en C. ¿Qué dices que te van a ejecutar?
#4 Apache Tomcat.
Nginx sobra un rato.
#4 No puedes usar un ftp o un scp para dejar el payload y luego usar un java para ejecutarlo?
#21 Hombre, si permites a todo quisque subir cosas por FTP o scp esta vulnerabilidad es tu menor problema
#c-28" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3595442/order/28">#28 Perdon, no habia leido bien lo vuln, y el comentario de # 4 no tiene sentido una vez que hecho RTFM.
#1 se puede parar con un waf filtrando el header de la petición maliciosa
#5 Las empresas apenas invierten en tener un waf en condiciones. Así pasa luego claro
#7 las que yo conozco si, cloudflare te da waf gratis por ejemplo
#8 una cosa es poner un waf y otra configurarlo
#27 esa te la compro
#5 da igual el waf porque el ataque puede usar otros vectores que para un waf deberían ser legítimos (a no ser que se meta a parsear todo el paquete http, incluido el body)
Hay pruebas de ataque a Apple cambiando el nombre de usuario de iCloud (dime cómo paras eso con un waf).
Al final todo lo que llegue al logger lo hace vulnerable, pero la petición puede ir en el body, o incluso en el path de la url.
#10 #5 Hasta el server del Minecraft ha sido vulnerable.
#1 Eso solo es posible contra versiones de OpenJDK que esten configuradas para aceptarlo. Desde OpenJDK 8u191 la configuracion por defecto es deshabilitarlo. Como referencia, esa version tiene mas de tres años.
Aun asi, eso no significa que utilizando una version de OpenJDK mas nueva se este completamente a salvo. La vulnerabilidad en Log4j sigue siendo critica y la recomendacion es actualizar Log4j
#24 eso o deshabilitar la la ejecución desde jdni con la variable "log4j2.formatMsgNoLookups=true"
O desactivar jdni directamente
#34 Esa variable solo es valida para log4j2.10 y superior, en versiones anteriores no esta presente. Nuestro parche bloquea llamadas jndi que se hacen a base de interpretar Strings
#1 si es gorda pero tanto como para romper internet como dice el titular......
#42 ni de coña vamos. La auténtica lacra actualmente son los ransomware. La putada es que está disponible entre las librerías de Apache y hay millones de personas descargando librerías todos los días de ahí para implementar nuevas apps, entonces pues debe haberse extendido como la pólvora. De hecho, en mi caso casi pillo por los pelos y cuando lo vi me cagué porque en la empresa desde por la mañana ya empezaron a dar la alarma. Por suerte, es la librería de Java y no de JavaScript.
Desde el equipo de AWS Corretto hemos sacado una utilidad que permite parchear este fallo de seguridad en caliente, sin necesidad de reiniciar la maquina virtual de java:
https://github.com/corretto/hotpatch-for-apache-log4j2
Esto puede ser util para aquellos que tienen servicios criticos que no pueden parar fuera de ventanas de mantenimiento, casos de aplicaciones que se distribuyen con todas sus dependencias y para las que aun no hay un parche o casos donde copias de las clases de log4j estan presentes en un namespace distinto
Lo que ya decía aquí:
C es el lenguaje de programación 'más verde', seguido de cerca por Rust: son los que consumen menos energía al ejecutar algoritmos/c5#c-5
#9 y yo salvando el planeta sin saberlo...
#9 Si dices java tres veces, aparece Skynet y se termina el mundo
"Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación"
Soy yo, o esto no tiene el más mínimo sentido?
Imagino que han traducido framework por "entorno de trabajo" y "log" por "registro de actividad que permite monitorizar la actividad" (sic), ¿pero solo en Apache?
Me da que el que ha escrito eso ha visto poco código.
#17 es xataka, qué esperas? que sepan de lo que hablan?
#17 No se para que cojones me he pegado entonces la paliza con los websphere.
Just Java....
Mandatory XKCD
#45 Esperemos que ese señor de Nebraska esté en activo para el año 2038 (Fin de los Días en UNIX)
Lo mejor es que sacaron el arreglo en la versión 2.15.0 y al rato la volvieron a romper . Así que hay que instalarse la 2.15.0-rc2. Hasta que la vuelvan a romper y toque una nueva, supongo.
#29 Es lo que tiene cuando parcheas y publicas rápido.
#29 Llegue tarde a la fiesta y no segui la publicacion, pero dejame explicar algo: RC significa release candidate, en este caso, la segunda. Cadidata a ser release oficial.
El ciclo es trabajar sobre la version SNAPSHOT, y cuando se han desarrollado todas las caracteristicas que se quieren en la version a publicar, se marca como RC, y se prueba, y se prueba, y se prueba, lo nuevo y lo viejo, o asi deberia ser. Si se encuentra un problema, se arregla, y se hace una RC2, y se prueba de nuevo todo. Cuando se confia en el resultado, se crea la version sin sufijos: 2.15.0. Si sobre esta hace falta aplicar algun cambio menor, corregir bugs, o lo que sea que no signifique para el equipo una caracteristica digna de una version nueva, se crea la version 2.15.1. Logicamente, antes de 2.15.1 habra habido una 2.15.10-R1
Asi que resumiendo, el hecho de que haya habido una RC2 a mi me tranquiliza al saber que la RC1 fue testeada al menos un poco y que alguien levanto la mano para que no se publicara con algun problema
#29 #40 Ya esta la 2.16.0 circulando por ahi
El apocalipsis informático del año.
#2 En el top de la decada para mi, con Heartbleed y Shellshock
#2 del mes más bien.
Otra catástrofe de dimensiones descomunales que acabarán con el universo... como el síndrome del año 2000 que iba a colapsar toda la sociedad... y al final si no es porque le dieron tanto bombo la mayoría ni nos enteramos.
#16 A lo mejor porque le dieron tanto bombo, no sufriste los efectos. Además, la sociedad no estaba tan digitalizada.
Esto es como si todos los países hubieran actuado bien con el coronavirus (empezado por su el país de origen), que seguramente la gente estaría echando humo de que los hubieran confinado por algo más leve que una gripe.
#16 porque algunos nos pasamos muchas horas revisando y certificando que no pasase nada.
#30 Sí, eres viejo. Seguro que fuiste uno de esos que pasaste la nochevieja de ese año en una oficina. Gracias.
#32 Algunos nos libramos de la guardia de ese día de milagro.
#16 Me pase horas y horas trabajando como un cabrón junto con otras docenas de programadores en COBOL para intentar que no ocurriese nada grave y la gente no se diera cuenta (me imagino que en otros entornos pasaría igual).
Así que no me lo tomaría tan a la ligera el efecto 2000.
En el 98 y 99 se contrataron a saco a gente para evitar problemas bastante graves en Bcos,hacienda,tráfico y más lugares,así que adivina como estaba la cosa.
#16 Yo tuve que parchear algunas aplicaciones para que no hubiera incidencias relacionadas en nada que dependiera de mí.
Pues para llevar cuatro días, todavía no se ha acabado el mundo. ¿Se acabará mañana, cuando haya todavía más sistemas parcheados?
#6 Es que el problema es el uso en redes que has penetrado, pero que no habia forma de expandirse. Ahora si y es facilisimo.
Creo que lo de menos son los sistemas que estan de cara a internet. Pero hasta aqui puedo leer...
#6 no les estropees el clickbait hombre, que quedan muchas viejas por asustar aún.
#6 Se acabará en el año 3000 cuando los sistemas informáticos no sepan reaccionar al cambio de milenio. Eso si no ocurre antes en el 2100, 2200, 2300, etc.
Después de la lava, vino el Java
(sí, ya sé que hoy estoy sembrado)
Y sin exagerar
Me debato entre duplicada (ya se enviaron varias noticias hablando sobre la vulnerabilidad y desglosándola) o sensacionalista, por el titular de mierda a lo Piqueras.
¿Tanto se usa el log4j este?.
#15 SÍ
#15
En todas partes