Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Треть Java-проектов на базе библиотеки Log4j продолжают использовать уязвимые версии, opennews (??), 14-Дек-23, (0) [смотреть все] Не работает не трожь , Аноним (1), 14:59 , 14-Дек-23, (1) +3 // А если работает плохо Описанные уязвимости могут и хорошим боком вылезти , Аноним (-), 15:28 , 14-Дек-23, (3) +1 // если косяк не выявлен - значит он не мешает и все работает классика жанра , pfg21 (ok), 15:58 , 14-Дек-23, (5) +1 Это суровый энтерпрайз и не только, а не Hello, I m SPA over Nodejs I will fil, FF (?), 15:16 , 14-Дек-23, (2) +2 // Если суровый энтерпрайз означает то, что тебя взломают из-за луддизма, то в гроб, RarogCmex2 (?), 15:58 , 14-Дек-23, (4) –2   // суровый кровавый энтерпрайз очень не любит обновлений доказано практикой , pfg21 (ok), 16:00 , 14-Дек-23, (6) +2   // Угу И не то, чтобы совсем зря Поломают или там не поломают какую осенно-важную, User (??), 09:10 , 15-Дек-23, (26) +1   как правило это всё упирается ой, а мы что-то зарелизили 10 лет назад, васян на, aim (ok), 16:08 , 19-Дек-23, (34)   Это если проект был - а то и вовсе библиотека-на-delphi замнчальника АСУ ТП 10, User (??), 18:50 , 19-Дек-23, (35)   По крайней мере часть уязвимостей выглядит несерьезными https security-tracker, Вирт (?), 19:32 , 14-Дек-23, (15) +1   угу Либу обновил - ынтыпрайс, неведомым чудом работавший, хотя кое-как подпёрты, Бывалый смузихлёб (?), 06:42 , 15-Дек-23, (23) +1   // Обновил log4j и твой вдыртынпрайз упал лишь поэтому Этот как же криво у вас там, zog (??), 22:26 , 15-Дек-23, (31) +1   У сурового ынтерпрайза нет денех на тестовый стенд , Аноним (33), 14:22 , 18-Дек-23, (33)   Интересно, нельзя было выпустить патч версии минорных веток Что-то типа 2 14 1 , Аноним (7), 16:25 , 14-Дек-23, (7) // Если б это кому-то нужно было, давно бы сделали , ИмяХ (ok), 16:36 , 14-Дек-23, (9) Когда писал на Java ещё до времён Андроида - удивила любовь к исползованию этой , Аноним (10), 16:40 , 14-Дек-23, (10) +2 // А почему перестал писать , Аноним (20), 01:35 , 15-Дек-23, (20) // Потому что уже давно есть котлин , Бывалый смузихлёб (?), 06:43 , 15-Дек-23, (24) Однажды у меня на сервере в Hetzner исчезла целая папка с Java runtime С тех по, Аноним (11), 17:53 , 14-Дек-23, (11) +1 // Ничего скоро в январе у РФ аккаунтов все файлы на хетзнере пропадут , Аноним (14), 19:22 , 14-Дек-23, (14) +2 Скрыто модератором, Ivan_83 (ok), 19:13 , 14-Дек-23, (12) +7 // Скрыто модератором, Аноним (14), 19:20 , 14-Дек-23, (13) // Скрыто модератором, Ivan_83 (ok), 19:32 , 14-Дек-23, (16) +1 Скрыто модератором, Аноним (17), 20:41 , 14-Дек-23, (17) // Скрыто модератором, Бывалый смузихлёб (?), 06:44 , 15-Дек-23, (25) Скрыто модератором, Вы забыли заполнить поле Name (?), 21:25 , 14-Дек-23, (18) +2 Как в древней рекламе - Вы всё ещё кипятите Тогда мы идем к вам , Аноним (19), 00:43 , 15-Дек-23, (19) Открою страшную тайну там где корпорации, так всем насрать какая там версия log4, Аноним (22), 06:20 , 15-Дек-23, (22) // ты звиздишь в системообразующих конторах постоянно покупают аудиты и пентесты, лютый арчешкольник... (?), 17:34 , 15-Дек-23, (29) // в остальном мире всем насрать это факт подтвержденный опытом более чем 25 лет , Аноним (32), 08:55 , 17-Дек-23, (32) И ниодна ж падла, кто торгует безопасностью, не напишет, что с помощью этой уязв, Golangdev (?), 09:51 , 15-Дек-23, (27) +1 // Minecraft - игра с миллионами игроков, как на лицензионных, так и на пиратских с, Bottle (?), 18:37 , 15-Дек-23, (30) Данная уязвимость воспроизводится только при использовании log4j с форматировани, banonymous (?), 13:38 , 15-Дек-23, (28) +1 1,2,7,10,11,19,22,27,28

Сообщения

[Сортировка по времени | RSS]

	4. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	–2 +/–
	Сообщение от RarogCmex2 (?), 14-Дек-23, 15:58
	Если суровый энтерпрайз означает то, что тебя взломают из-за луддизма, то в гробу я эту суровость видел.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+2 +/–
	Сообщение от pfg21 (ok), 14-Дек-23, 16:00
	суровый кровавый энтерпрайз очень не любит обновлений.   доказано практикой.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от User (??), 15-Дек-23, 09:10
	Угу. И не то, чтобы совсем зря. Поломают или там не поломают какую осенно-важную отчетилку за-тремя-файрволлами-в-двух-vlan'ах-от-тебя - это пускай вот у тех вот из СБ голова болит, а то, что гм, ногокрылые со своим новым-лудшим-обновлением разэтасамят примерно все, от форматов данных до математики и UI\UX - к гадалке не ходи. А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от aim (ok), 19-Дек-23, 16:08
	> А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все... как правило это всё упирается "ой, а мы что-то зарелизили 10 лет назад, васян нам в виде бинарей принёс, а где исходники знает только пред-пред-пред-пред-предыдущий владелец проекта"
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от User (??), 19-Дек-23, 18:50
	>> А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все... > как правило это всё упирается "ой, а мы что-то зарелизили 10 лет > назад, васян нам в виде бинарей принёс, а где исходники знает > только пред-пред-пред-пред-предыдущий владелец проекта" Это если проект был - а то и вовсе "библиотека-на-delphi" замнчальника АСУ ТП 10 лет назад для себя написал )))
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от Вирт (?), 14-Дек-23, 19:32
	По крайней мере часть уязвимостей выглядит несерьезными: https://security-tracker.debian.org/tracker/CVE-2022-23302 > when the attacker has write access to the Log4j configuration То есть у атакующего должны быть права админа. А если у него есть права админа, то нафига ему log4j.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	23. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от Бывалый смузихлёб (?), 15-Дек-23, 06:42
	угу. Либу обновил - ынтыпрайс, неведомым чудом работавший, хотя кое-как подпёртый со всех стором уймой палок и гомна - упал Пока неделю чинил - контора стояла. Вроде починил, но что-то не работает. Починил - другой костыль отвалился Будь добр занести пачку лимонов в виде компенсации ущерба за простой и пойти нахрен ибо уволен по статье
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	31. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от zog (??), 15-Дек-23, 22:26
	Обновил log4j и твой вдыртынпрайз упал лишь поэтому? Этот как же криво у вас там всё написано?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от Аноним (33), 18-Дек-23, 14:22
	У сурового ынтерпрайза нет денех на тестовый стенд?
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема