Log4j-haavoittuvuus
Keskustelua tietoturvasta ja varmuuskopioinnista Mac-, iPhone- ja iPad -käyttäjien näkökulmasta
Log4j-haavoittuvuus
Nyt iski paha Log4j haavoittuvuus. Palikkaa käytetään laajalti Java-palvelimilla logitukseen. Haavoittuvuutta voidaan hyödyntää Applen palvelimilla esim. iPhonen nimen muuttamisella (toivottavasti Apple paikannut omat palvelimensa jo).
https://cve.mitre.org/cgi-bin/cvename.c ... 2021-44228
https://www.zdnet.com/article/security- ... exploited/
https://www.lunasec.io/docs/blog/log4j-zero-day/
Edit: selvennetty Apache-palvelimet Java-palvelimiksi
https://cve.mitre.org/cgi-bin/cvename.c ... 2021-44228
https://www.zdnet.com/article/security- ... exploited/
https://www.lunasec.io/docs/blog/log4j-zero-day/
Edit: selvennetty Apache-palvelimet Java-palvelimiksi
Viimeksi muokannut Ilkka66, 14.12.2021 klo 7.26. Yhteensä muokattu 2 kertaa.
iPhone 15 Pro, MacBook Pro 14” M2, Apple TV 4K
Re: Log4j-haavoittuvuus
Loppukäyttäjälle harmia tulee lähinnä lienee Apachea webserverinä käyttävistä NAS-purkeista ja tukiasemista yms, jotka käyttävät Apachea ja Log4j. Päivityksiä näihin tulee hitaasti jos ollenkaan. Jollekin kryptolouhija käytännössä ehtymätön resurssi poimia näitä purnukoita farmiin Internetistä?
Mac Pro x 2, Mac Mini, Macbook Air M1, Macbook Pro, LED Cinema Display x 2
Airport Extreme, Airport Express x 3, AppleTV x 2
iPhone 12 Mini, iPad 1, iPad Mini, Apple Watch (20.11.2020)
Airport Extreme, Airport Express x 3, AppleTV x 2
iPhone 12 Mini, iPad 1, iPad Mini, Apple Watch (20.11.2020)
Re: Log4j-haavoittuvuus
Haavoittuvuus on log4j-nimisen Java-kirjaston tietyissä versioissa.
Apache-nimiseen http-serveriin tämä ei liity sinänsä mitenkään. Toivottavasti tuskin juuri missään NAS-purkissa ja tukiasemassa on mitään Java-ryönää ajossa. Ei siinä ainakaan ole juuri järkeä kun vie kuitenkin sen verran resursseja.
Erilaisissa internet-palveluissa sen sijaan on varmasti Javalla tehtyjä http-palvelimia, joissa log4j käytössä. Ja epäilemättä monessa paikassa JVM pyörii aivan liian isoilla oikeuksilla...
Re: Log4j-haavoittuvuus
Pitäs lailla kieltää nämä java sovellukset...
MacBook Pro13" mid 2012 16GB 480GB SSD
MacBook3.1 | 2.2GHz Intel Core 2 Duo | 4GB | 640GB | 12/2007
iPhone 5S 32GB + iPad2 32 GB Wi-Fi 3G + iPod Nano 3gen ja 6gen + ATV3
MacBook3.1 | 2.2GHz Intel Core 2 Duo | 4GB | 640GB | 12/2007
iPhone 5S 32GB + iPad2 32 GB Wi-Fi 3G + iPod Nano 3gen ja 6gen + ATV3
Re: Log4j-haavoittuvuus
Taitaisi maailma pysähtyä aika monessa suhteessa, jos kiellettäisiin.
Kohti länttä, kohti itää
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
Suomen suuren seistä pitää!
Kesken kahden vieraan verta
tohdi itses olla kerta!
–Eino Leino, Tähtiharha
Re: Log4j-haavoittuvuus
Vika ei ole Java-virtuaalikoneessa, vaan Javalla tehdyssä Java-sovellusten usein käyttämässä lokituskirjastossa.
Eli vika ei koske käytännössä kenenkään kotikonetta - ellet hostaa siinä internetiin näkyvää palvelua, joka käyttää tätä kirjastoa. Ja en usko, että teet niin
Sen sijaan vika koskee meitä erilaisten palvelujen käyttäjien roolissa, koska vian avulla voi saada serverille ajoon JVM:n oikeuksilla omaa koodia.
Re: Log4j-haavoittuvuus
Viesti Kirjoittaja homenamsi »
Täsmennätkö vielä, onko tuo kirjasto Oracle/Sunin siunaama ja mukana ’pääkallonpaikan’ kehittäjäjakeluissa - vai täysin jonkun muun tahon julkaisema ja jakelema?
Re: Log4j-haavoittuvuus
Viesti Kirjoittaja salmiakki »
Ainakin iltalehtien juttujen mukaan vika koskisi luultua enemmän myös kotikoneita, ainakin jos niissä on jokin ohjelmisto joka kaipaisi päivitystä, mutta toisaalta ymmärsin että kyseiset ohjelmistot ovat lähinnä yrityskäyttöön. Ja tänään oli juttua että ainakin reitittimet pitäisi päivittää, vaikka samaan syssyyn todettiin ettei tavallinen käyttäjä asialle juurikaan mitään voi. Kotikoneiden uhka ei kuitenkaan vaikuta suurelta, eli ei varmaan tarvitse stressata sitä jos kotikoneessa on vanhempi ohjelmisto... en ainakaan omaan koneeseen saa uusinta ohjelmistoa, enkä ole Mojaveenkaan vielä päivittänyt siinä pelossa että CS5 lakkaa toimimasta. (Toisaalta mietityttää että kuinka kauan vanhat käyttikset säilyvät ns. turvallisina.)
Palaa sivulle “Tietoturva ja varmuuskopiointi”
Hyppää
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit