Hirdetés
- AMD GPU-k jövője - amit tudni vélünk
- 5.1, 7.1 és gamer fejhallgatók
- VR topik (Oculus Rift, stb.)
- Milyen széket vegyek?
- Kormányok / autós szimulátorok topikja
- Őrületes specifikációkkal rendelkezik a Tachyum csodaprocesszora
- Samsung LCD és LED TV-k
- Milyen notebookot vegyek?
- Milyen TV-t vegyek?
- AMD Navi Radeon™ RX 9xxx sorozat
Új hozzászólás Aktív témák
-
floatr
veterán
"When exactly is the vulnerability exploitable?
All of the following conditions must apply in order for a specific Java application to be vulnerable:
- The Java application uses log4j (Maven package log4j-core) version 2.0.0-2.14.1
- A remote attacker can cause arbitrary strings to be logged, via one of the logging APIs – logger.info(), logger.debug(), logger.error(), logger.fatal(), logger.log(), logger.trace(), logger.warn().
- (on some machines) The Java JRE / JDK version in use is older than the following versions: 6u211, 7u201, 8u191, 11.0.1"Most ez az "on some machines" misztikus, de frissebb verziók esetén ki van kapcsolva a jndi lookup alapból
-
floatr
veterán
-
Egyszerűen csak arról van szó, hogy a Java nagyjából a legnépszerűbb nyelv (enterprise környezetben mindenképp), szóval rengetegen dolgoznak azon, hogy lyukakat találjanak benne. Továbbá számtalan 3rd party lib van, ami potenciális veszélyforrás. Speciel ez a sebezhetőség sem Java hiba.
-
Mint mondtam, dolgoztam ilyen helyen (nem bankban, hanem nagyobb cégnél szerveradminként, ahol voltak ilyen folyamatok - és compliance is - iszonyatos idióta követelményekkel, és kb. arra volt jó, hogy lassítsa a reakciót).
"Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja"
Nekünk 20+ ezer soros szerverlista volt
"K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van."
Ja, az ilyesmit borzalmasan leválasztani, de azért ez kilóg negatív irányba.Szóval nem kifogás, 2 év alatt ahol szándék van, ott végig lehet vinni egy Java updatet. Én is tapasztalatból beszélek.
@floatr : A Java általában véve lyukas.
-
floatr
veterán
-
ddekany
nagyúr
Ezt a címet át kéne sürgősen írni... Ez egy Log4j sebezhetőség. Az Apache egy alapítvány, aminél rengeteg project fut, és nem az alapítvány alkalmazza fejlesztőket, meg úgy általában nagyon kevés központi kontroll van a projektek vezetése felett. Totálisan unfair az Apache-t feketíteni ezekkel. Kb. infrastruktúrát és jogi keretet adnak a projektekhez.
-
strogov
senior tag
Egy bankban nem úgy megy az upgrade, hogy éjszaka kitalálod, reggel telepíted. Megfelelési folyamat van amit be kell tartani. Nyilván célszerűen a kintről látható rendszereiket naprakészen tarthatják, de simán benne van, hogy egy elkallódott rendszer ott van valahol.
Nem írok nevet (multi). Amikor rendszerlistát kértünk akkor csak az IT 3 nyilvántartóból hozta össze a 400+ működő, karbantartott rendszer nevét, és kaptunk egy excel-t is, hogy valójában ezek használjak (~150).
Egy külön csoport foglalkozott azzal, hogy melyik rendszereket lehet szanálni, mert már senki nem használja ... és nagyon sok melójuk volt.K&H-ban pl. még ott van törvényi kötelezettség miatt egy rendszer amiből lekérhetőek a hivatalos kárpótlási jegy információk. Ehhez nyilván 25 éve senki nem nyúlt, de ott van.
-
Azokkal nincs is olyan nagy gond. De ami kintről elérhető, azt muszáj patchelni, mert ezen kívül is durva hibák lehetnek...
Voltam szerveradmin, a legtöbb "nem ennyire egszerű" eset adminisztratív nehézség volt
(Akár az is, hogy nem aakrják megvenni az újabb verziót, inkább az admint szívatják, hogy oldja meg compliantre azt az outdated cuccot, ami van, de pl. csak bizonyos kernelverzióval megy, stb.) -
Szerintem 3rd party alatt azt értették a Crowdstrike hírben, hogy olyan appok, amikbe be van építve.
BTW egy patchet egy kisebb szolgáltató is fel tud tenni, ha csak annyi.Amit még nem értek, a CVE-ben
"Both of the most popular Java implementations, Oracle JDK and OpenJDK, have shipped with a default setting that should prevent exploitation since 2019; the variablecom.sun.jndi.rmi.object.trustURLCodebaseis set tofalseby default, disallowing access to remote resources. "
Akkor ez most mi...
Mondom szerintem, aztán nem biztos, hogy igazam van.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
), de elvileg igen.
Új hozzászólás Aktív témák
- LEGO klub
- Konzolokról KULTURÁLT módon
- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- AMD GPU-k jövője - amit tudni vélünk
- Allegro vélemények - tapasztalatok
- Samsung Galaxy S25 - végre van kicsi!
- Gitáros topic
- 5.1, 7.1 és gamer fejhallgatók
- exHWSW - Értünk mindenhez IS
- Eredeti játékok OFF topik
- További aktív témák...
- DELL Latitude 5320 13.3"FHD TOUCH IPS i5-1145G7 16GB/250GB Nvme SSD W11P, Üzletből, 27%ÁFÁ-s
- T14 Gen2i 27% 14" FHD IPS érintő i5-1145G7 16GB 256GB NVMe ujjlolv IR kam gar
- DELL Latitude 7320 Detachable 13"Touch i5-1130G7 8G/256G W11P, 2in1 Tablet/laptop,üzletből, 27%ÁFÁ-s
- -ÚJ,2 ÉV GAR- GAMER PC: RYZEN 5 4500-5600X +RX 6600/6700XT +16-64GB DDR4! SZÁMLA! 70 féle ház!
- Eladó Latitude 5520 15.6" FHD IPS i7-1185G7 NVIDIA GeForce MX450 16 1TB gar
- BESZÁMÍTÁS! 32GB G.SKILL Trident Z5 RGB 7800MHz DDR5 memória garanciával hibátlan működéssel
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5700X3D 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
- GYÖNYÖRŰ iPhone 13 mini 128GB Blue -1 ÉV GARANCIA -Kártyafüggetlen, MS3885, 100% Akkumulátor
- Vállalom telefonok,tabletek javítását ,(szoftveres hibát is,frp lock-ot is)márkától fügetlenűl
- HIBÁTLAN iPhone 13 mini 128GB Blue -1 ÉV GARANCIA - Kártyafüggetlen, MS3139, 100% Akkumulátor
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest