Sivu 1/1
Log4j-haavoittuvuus
Lähetetty: 12.12.2021 klo 19.40
Kirjoittaja Ilkka66
Nyt iski paha Log4j haavoittuvuus. Palikkaa käytetään laajalti Java-palvelimilla logitukseen. Haavoittuvuutta voidaan hyödyntää Applen palvelimilla esim. iPhonen nimen muuttamisella (toivottavasti Apple paikannut omat palvelimensa jo).
https://cve.mitre.org/cgi-bin/cvename.c ... 2021-44228
https://www.zdnet.com/article/security- ... exploited/
https://www.lunasec.io/docs/blog/log4j-zero-day/
Edit: selvennetty Apache-palvelimet Java-palvelimiksi
Re: Log4j haavoittuvuus
Lähetetty: 12.12.2021 klo 22.22
Kirjoittaja Andreas66
Apple taisi nuo jo paikata. Aika härdelli menossa.
Re: Log4j-haavoittuvuus
Lähetetty: 13.12.2021 klo 17.44
Kirjoittaja jeppe
Loppukäyttäjälle harmia tulee lähinnä lienee Apachea webserverinä käyttävistä NAS-purkeista ja tukiasemista yms, jotka käyttävät Apachea ja Log4j. Päivityksiä näihin tulee hitaasti jos ollenkaan. Jollekin kryptolouhija käytännössä ehtymätön resurssi poimia näitä purnukoita farmiin Internetistä?
Re: Log4j-haavoittuvuus
Lähetetty: 13.12.2021 klo 20.20
Kirjoittaja nikusa
jeppe kirjoitti: ↑13.12.2021 klo 17.44
Loppukäyttäjälle harmia tulee lähinnä lienee Apachea webserverinä käyttävistä NAS-purkeista ja tukiasemista yms, jotka käyttävät Apachea ja Log4j.
Haavoittuvuus on log4j-nimisen Java-kirjaston tietyissä versioissa.
Apache-nimiseen http-serveriin tämä ei liity sinänsä mitenkään. Toivottavasti tuskin juuri missään NAS-purkissa ja tukiasemassa on mitään Java-ryönää ajossa. Ei siinä ainakaan ole juuri järkeä kun vie kuitenkin sen verran resursseja.
Erilaisissa internet-palveluissa sen sijaan on varmasti Javalla tehtyjä http-palvelimia, joissa log4j käytössä. Ja epäilemättä monessa paikassa JVM pyörii aivan liian isoilla oikeuksilla...
Re: Log4j-haavoittuvuus
Lähetetty: 13.12.2021 klo 23.15
Kirjoittaja Hepo
Pitäs lailla kieltää nämä java sovellukset...
Re: Log4j-haavoittuvuus
Lähetetty: 14.12.2021 klo 6.50
Kirjoittaja antoine
Taitaisi maailma pysähtyä aika monessa suhteessa, jos kiellettäisiin.
Re: Log4j-haavoittuvuus
Lähetetty: 14.12.2021 klo 10.52
Kirjoittaja Tuike
Mun kone haluaa asentaa suojauspäivityksen. Tuliko tähän korjaus kotikoneisiin?
Re: Log4j-haavoittuvuus
Lähetetty: 14.12.2021 klo 18.10
Kirjoittaja nikusa
Tuike kirjoitti: ↑14.12.2021 klo 10.52
Mun kone haluaa asentaa suojauspäivityksen. Tuliko tähän korjaus kotikoneisiin?
Vika ei ole Java-virtuaalikoneessa, vaan Javalla tehdyssä Java-sovellusten usein käyttämässä lokituskirjastossa.
Eli vika ei koske käytännössä kenenkään kotikonetta - ellet hostaa siinä internetiin näkyvää palvelua, joka käyttää tätä kirjastoa. Ja en usko, että teet niin
Sen sijaan vika koskee meitä erilaisten palvelujen käyttäjien roolissa, koska vian avulla voi saada serverille ajoon JVM:n oikeuksilla omaa koodia.
Re: Log4j-haavoittuvuus
Lähetetty: 14.12.2021 klo 18.21
Kirjoittaja homenamsi
Täsmennätkö vielä, onko tuo kirjasto Oracle/Sunin siunaama ja mukana ’pääkallonpaikan’ kehittäjäjakeluissa - vai täysin jonkun muun tahon julkaisema ja jakelema?
Re: Log4j-haavoittuvuus
Lähetetty: 14.12.2021 klo 20.12
Kirjoittaja Ilkka66
Kyseessä on Apache Software Foundation (open source) kirjastosta.
Re: Log4j-haavoittuvuus
Lähetetty: 16.12.2021 klo 22.50
Kirjoittaja salmiakki
Ainakin iltalehtien juttujen mukaan vika koskisi luultua enemmän myös kotikoneita, ainakin jos niissä on jokin ohjelmisto joka kaipaisi päivitystä, mutta toisaalta ymmärsin että kyseiset ohjelmistot ovat lähinnä yrityskäyttöön. Ja tänään oli juttua että ainakin reitittimet pitäisi päivittää, vaikka samaan syssyyn todettiin ettei tavallinen käyttäjä asialle juurikaan mitään voi. Kotikoneiden uhka ei kuitenkaan vaikuta suurelta, eli ei varmaan tarvitse stressata sitä jos kotikoneessa on vanhempi ohjelmisto... en ainakaan omaan koneeseen saa uusinta ohjelmistoa, enkä ole Mojaveenkaan vielä päivittänyt siinä pelossa että CS5 lakkaa toimimasta. (Toisaalta mietityttää että kuinka kauan vanhat käyttikset säilyvät ns. turvallisina.)