Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Треть Java-проектов на базе библиотеки Log4j продолжают использовать уязвимые версии"	+/–
Сообщение от opennews (??), 14-Дек-23, 14:59
Компания Veracode опубликовала результаты исследования актуальности критических уязвимостей в Java-библиотеке Log4j, выявленных в прошлом и позапрошлом годах. Изучив 38278 приложений, используемых в 3866 организациях, исследователи из Veracode обнаружили, что  38% из них  используют уязвимые версии Log4j. Основной причиной продолжения применения устаревшего кода является встраивание в проекты старых библиотек  или трудоёмкость миграции с уже неподдерживаемых веток на новые ветки, в которых нарушена обратная совместимость (судя по прошлому отчёту Veracode,  79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60287
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+3 +/–
Сообщение от Аноним (1), 14-Дек-23, 14:59
Не работает не трожь.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от Аноним (-), 14-Дек-23, 15:28
	А если работает плохо? Описанные уязвимости могут и хорошим боком вылезти.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от pfg21 (ok), 14-Дек-23, 15:58
	если косяк не выявлен - значит он не мешает и все работает :) классика жанра.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+2 +/–
Сообщение от FF (?), 14-Дек-23, 15:16
Это суровый энтерпрайз и не только, а не "Hello, I'm SPA over Nodejs. I will fill your ass by updates for all my litle modules..."
Ответить | Правка | Наверх | Cообщить модератору

	4. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	–2 +/–
	Сообщение от RarogCmex2 (?), 14-Дек-23, 15:58
	Если суровый энтерпрайз означает то, что тебя взломают из-за луддизма, то в гробу я эту суровость видел.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+2 +/–
	Сообщение от pfg21 (ok), 14-Дек-23, 16:00
	суровый кровавый энтерпрайз очень не любит обновлений.   доказано практикой.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от User (??), 15-Дек-23, 09:10
	Угу. И не то, чтобы совсем зря. Поломают или там не поломают какую осенно-важную отчетилку за-тремя-файрволлами-в-двух-vlan'ах-от-тебя - это пускай вот у тех вот из СБ голова болит, а то, что гм, ногокрылые со своим новым-лудшим-обновлением разэтасамят примерно все, от форматов данных до математики и UI\UX - к гадалке не ходи. А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от aim (ok), 19-Дек-23, 16:08
	> А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все... как правило это всё упирается "ой, а мы что-то зарелизили 10 лет назад, васян нам в виде бинарей принёс, а где исходники знает только пред-пред-пред-пред-предыдущий владелец проекта"
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от User (??), 19-Дек-23, 18:50
	>> А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все... > как правило это всё упирается "ой, а мы что-то зарелизили 10 лет > назад, васян нам в виде бинарей принёс, а где исходники знает > только пред-пред-пред-пред-предыдущий владелец проекта" Это если проект был - а то и вовсе "библиотека-на-delphi" замнчальника АСУ ТП 10 лет назад для себя написал )))
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от Вирт (?), 14-Дек-23, 19:32
	По крайней мере часть уязвимостей выглядит несерьезными: https://security-tracker.debian.org/tracker/CVE-2022-23302 > when the attacker has write access to the Log4j configuration То есть у атакующего должны быть права админа. А если у него есть права админа, то нафига ему log4j.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	23. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от Бывалый смузихлёб (?), 15-Дек-23, 06:42
	угу. Либу обновил - ынтыпрайс, неведомым чудом работавший, хотя кое-как подпёртый со всех стором уймой палок и гомна - упал Пока неделю чинил - контора стояла. Вроде починил, но что-то не работает. Починил - другой костыль отвалился Будь добр занести пачку лимонов в виде компенсации ущерба за простой и пойти нахрен ибо уволен по статье
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	31. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
	Сообщение от zog (??), 15-Дек-23, 22:26
	Обновил log4j и твой вдыртынпрайз упал лишь поэтому? Этот как же криво у вас там всё написано?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от Аноним (33), 18-Дек-23, 14:22
	У сурового ынтерпрайза нет денех на тестовый стенд?
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

7. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
Сообщение от Аноним (7), 14-Дек-23, 16:25
Интересно, нельзя было выпустить патч версии минорных веток? Что-то типа 2.14.1.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от ИмяХ (ok), 14-Дек-23, 16:36
	Если б это кому-то нужно было, давно бы сделали.
	Ответить | Правка | Наверх | Cообщить модератору

10. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+2 +/–
Сообщение от Аноним (10), 14-Дек-23, 16:40
Когда писал на Java ещё до времён Андроида - удивила любовь к исползованию этой библиотеки. Причем просто логировагие дебажного вывода. Вот и итог...
Ответить | Правка | Наверх | Cообщить модератору

	20. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от Аноним (20), 15-Дек-23, 01:35
	А почему перестал писать?
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от Бывалый смузихлёб (?), 15-Дек-23, 06:43
	>> Когда писал на Java Потому что уже давно есть котлин ?
	Ответить | Правка | Наверх | Cообщить модератору

11. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
Сообщение от Аноним (11), 14-Дек-23, 17:53
Однажды у меня на сервере в Hetzner исчезла целая папка с Java runtime. С тех пор я поумнел.
Ответить | Правка | Наверх | Cообщить модератору

	14. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+2 +/–
	Сообщение от Аноним (14), 14-Дек-23, 19:22
	Ничего скоро в январе у РФ аккаунтов все файлы на хетзнере пропадут.
	Ответить | Правка | Наверх | Cообщить модератору

12. Скрыто модератором	+7 +/–
Сообщение от Ivan_83 (ok), 14-Дек-23, 19:13
Два года и мир не рухнул. И ни одного растомана в новости, с предложением срочно переписать на безоасную гниль с небезопасной джавы.
Ответить | Правка | Наверх | Cообщить модератору

	13. Скрыто модератором	+/–
	Сообщение от Аноним (14), 14-Дек-23, 19:20
	Откуда ты знаешь просто их мониторят хакеры по полной и всё.
	Ответить | Правка | Наверх | Cообщить модератору

	16. Скрыто модератором	+1 +/–
	Сообщение от Ivan_83 (ok), 14-Дек-23, 19:32
	Никто ничего не мониторит, не надо себя успокаивать.
	Ответить | Правка | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от Аноним (17), 14-Дек-23, 20:41
	А может тебя мониторят хакеры по полной.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	25. Скрыто модератором	+/–
	Сообщение от Бывалый смузихлёб (?), 15-Дек-23, 06:44
	с аноном на пару смотрят его прон и рассматривают фотки кота ?
	Ответить | Правка | Наверх | Cообщить модератору

	18. Скрыто модератором	+2 +/–
	Сообщение от Вы забыли заполнить поле Name (?), 14-Дек-23, 21:25
	> И ни одного растомана в новости Им некогда: они волосы перекрашивают и пол меняют.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

19. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
Сообщение от Аноним (19), 15-Дек-23, 00:43
Как в древней рекламе: " - Вы всё ещё кипятите? Тогда мы идем к вам!"
Ответить | Правка | Наверх | Cообщить модератору

22. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
Сообщение от Аноним (22), 15-Дек-23, 06:20
Открою страшную тайну там где корпорации, так всем насрать какая там версия log4j там в принципе никому не инетерсно какое решение и на чем оно работает. Пока оно не принесло убытки в миллионы там репу или что они там чешут не почешут... Исключение наверное только крупные банки, там да иногда следят за безопстностю...
Ответить | Правка | Наверх | Cообщить модератору

	29. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от лютый арчешкольник... (?), 15-Дек-23, 17:34
	>Открою страшную тайну там где корпорации, ты звиздишь... в системообразующих конторах постоянно покупают аудиты и пентесты. другая проблема, что обновить все 100500 зоопарков одним днем не выйдет.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от Аноним (32), 17-Дек-23, 08:55
	> в системообразующих конторах постоянно покупают аудиты и пентесты в остальном мире всем насрать это факт подтвержденный опытом более чем 25 лет... в зазаборье мне неизвестно, так как уровень ИТ продуктов кране секретен и редко кому вообще неизвестен в условиях этакой редкостной секретности, а как следствие и ломать его крайне сложно.
	Ответить | Правка | Наверх | Cообщить модератору

27. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
Сообщение от Golangdev (?), 15-Дек-23, 09:51
И ниодна ж падла, кто торгует безопасностью, не напишет, что с помощью этой уязвимости можно реально что-то сделать. Пруфы в студию, сколько проектов взломали через эту уязвимость ?
Ответить | Правка | Наверх | Cообщить модератору

	30. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+/–
	Сообщение от Bottle (?), 15-Дек-23, 18:37
	Minecraft - игра с миллионами игроков, как на лицензионных, так и на пиратских серверах. Уязвимость Log4J вкупе с "интересно" написанным кодом Minecraft'а привела к тому, что для произвольного исполнения кода нужно было всего лишь написать специально оформленный текст в чат.
	Ответить | Правка | Наверх | Cообщить модератору

28. "Треть Java-проектов на базе библиотеки Log4j продолжают испо..."	+1 +/–
Сообщение от banonymous (?), 15-Дек-23, 13:38
Данная уязвимость воспроизводится только при использовании log4j с форматированием логов через PatternLayout. Если вы используете другой, например json формат, то проблемы нет даже с уязвимой версией.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема