hacking: comentarios [3595442]

#52 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--699549-- — Tue, 21 Dec 2021 20:27:33 +0000

#42 ni de coña vamos. La auténtica lacra actualmente son los ransomware. La putada es que está disponible entre las librerías de Apache y hay millones de personas descargando librerías todos los días de ahí para implementar nuevas apps, entonces pues debe haberse extendido como la pólvora. De hecho, en mi caso casi pillo por los pelos y cuando lo vi me cagué porque en la empresa desde por la mañana ya empezaron a dar la alarma. Por suerte, es la librería de Java y no de JavaScript.

» autor: --699549--

#51 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Polarin — Thu, 16 Dec 2021 03:53:30 +0000

#28 Perdon, no habia leido bien lo vuln, y el comentario de # 4 no tiene sentido una vez que hecho RTFM.

» autor: Polarin

#50 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

zancudo — Tue, 14 Dec 2021 16:19:09 +0000

#16 Yo tuve que parchear algunas aplicaciones para que no hubiera incidencias relacionadas en nada que dependiera de mí.

» autor: zancudo

#49 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

box3d — Tue, 14 Dec 2021 13:05:07 +0000

#45 Esperemos que ese señor de Nebraska esté en activo para el año 2038 (Fin de los Días en UNIX)

» autor: box3d

#48 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

munchies — Tue, 14 Dec 2021 10:09:56 +0000

#6 Se acabará en el año 3000 cuando los sistemas informáticos no sepan reaccionar al cambio de milenio. Eso si no ocurre antes en el 2100, 2200, 2300, etc.

» autor: munchies

#47 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--180193-- — Tue, 14 Dec 2021 09:44:09 +0000

#16 Me pase horas y horas trabajando como un cabrón junto con otras docenas de programadores en COBOL para intentar que no ocurriese nada grave y la gente no se diera cuenta (me imagino que en otros entornos pasaría igual).

Así que no me lo tomaría tan a la ligera el efecto 2000.

En el 98 y 99 se contrataron a saco a gente para evitar problemas bastante graves en Bcos,hacienda,tráfico y más lugares,así que adivina como estaba la cosa.

» autor: --180193--

#46 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

albandy — Tue, 14 Dec 2021 09:35:10 +0000

#17 No se para que cojones me he pegado entonces la paliza con los websphere.

» autor: albandy

#45 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

redscare — Tue, 14 Dec 2021 09:21:28 +0000

Mandatory XKCD

» autor: redscare

#44 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

pax0r — Tue, 14 Dec 2021 08:31:04 +0000

#27 esa te la compro

» autor: pax0r

#43 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Razhan — Tue, 14 Dec 2021 08:20:38 +0000

#29 #40 Ya esta la 2.16.0 circulando por ahi

» autor: Razhan

#42 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

ed25519 — Tue, 14 Dec 2021 08:03:32 +0000

#1 si es gorda pero tanto como para romper internet como dice el titular......

» autor: ed25519

#41 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

alvdavi — Tue, 14 Dec 2021 07:58:34 +0000

#34 Esa variable solo es valida para log4j2.10 y superior, en versiones anteriores no esta presente. Nuestro parche bloquea llamadas jndi que se hacen a base de interpretar Strings

» autor: alvdavi

#40 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

JCabrerizo — Tue, 14 Dec 2021 07:48:11 +0000

#29 Llegue tarde a la fiesta y no segui la publicacion, pero dejame explicar algo: RC significa release candidate, en este caso, la segunda. Cadidata a ser release oficial.

El ciclo es trabajar sobre la version SNAPSHOT, y cuando se han desarrollado todas las caracteristicas que se quieren en la version a publicar, se marca como RC, y se prueba, y se prueba, y se prueba, lo nuevo y lo viejo, o asi deberia ser. Si se encuentra un problema, se arregla, y se hace una RC2, y se prueba de nuevo todo. Cuando se confia en el resultado, se crea la version sin sufijos: 2.15.0. Si sobre esta hace falta aplicar algun cambio menor, corregir bugs, o lo que sea que no signifique para el equipo una caracteristica digna de una version nueva, se crea la version 2.15.1. Logicamente, antes de 2.15.1 habra habido una 2.15.10-R1

Asi que resumiendo, el hecho de que haya habido una RC2 a mi me tranquiliza al saber que la RC1 fue testeada al menos un poco y que alguien levanto la mano para que no se publicara con algun problema

» autor: JCabrerizo

#39 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

ninefingers — Tue, 14 Dec 2021 07:45:16 +0000

#17 es xataka, qué esperas? que sepan de lo que hablan?

» autor: ninefingers

#38 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

ninefingers — Tue, 14 Dec 2021 07:43:52 +0000

#6 no les estropees el clickbait hombre, que quedan muchas viejas por asustar aún.

» autor: ninefingers

#37 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

ninefingers — Tue, 14 Dec 2021 07:43:16 +0000

#2 del mes más bien.

» autor: ninefingers

#36 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--453660-- — Tue, 14 Dec 2021 07:33:31 +0000

Me debato entre duplicada (ya se enviaron varias noticias hablando sobre la vulnerabilidad y desglosándola) o sensacionalista, por el titular de mierda a lo Piqueras.

» autor: --453660--

#35 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--89888-- — Tue, 14 Dec 2021 07:10:10 +0000

#32 Algunos nos libramos de la guardia de ese día de milagro.

» autor: --89888--

#34 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Hil014 — Tue, 14 Dec 2021 07:05:09 +0000

#24 eso o deshabilitar la la ejecución desde jdni con la variable "log4j2.formatMsgNoLookups=true"

O desactivar jdni directamente

» autor: Hil014

#33 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--419859-- — Tue, 14 Dec 2021 06:41:47 +0000

#29 Es lo que tiene cuando parcheas y publicas rápido.

» autor: --419859--

#32 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--419859-- — Tue, 14 Dec 2021 06:39:23 +0000

#30 Sí, eres viejo. Seguro que fuiste uno de esos que pasaste la nochevieja de ese año en una oficina. Gracias.

» autor: --419859--

#31 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

sillycon — Tue, 14 Dec 2021 06:34:02 +0000

Y sin exagerar

» autor: sillycon

#30 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

osiris — Tue, 14 Dec 2021 06:17:54 +0000

#16 porque algunos nos pasamos muchas horas revisando y certificando que no pasase nada.

» autor: osiris

#29 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Ñbrevu — Tue, 14 Dec 2021 05:53:13 +0000

Lo mejor es que sacaron el arreglo en la versión 2.15.0 y al rato la volvieron a romper . Así que hay que instalarse la 2.15.0-rc2. Hasta que la vuelvan a romper y toque una nueva, supongo.

» autor: Ñbrevu

#28 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

chavi — Tue, 14 Dec 2021 05:32:02 +0000

#21 Hombre, si permites a todo quisque subir cosas por FTP o scp esta vulnerabilidad es tu menor problema

» autor: chavi

#27 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

xkill — Tue, 14 Dec 2021 01:12:11 +0000

#8 una cosa es poner un waf y otra configurarlo

» autor: xkill

#26 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Razhan — Tue, 14 Dec 2021 00:21:26 +0000

#15 twitter.com/theasf/status/1400875147163279374

En todas partes

» autor: Razhan

#25 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Razhan — Tue, 14 Dec 2021 00:19:42 +0000

#2 En el top de la decada para mi, con Heartbleed y Shellshock

» autor: Razhan

#24 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

alvdavi — Tue, 14 Dec 2021 00:18:36 +0000

#1 Eso solo es posible contra versiones de OpenJDK que esten configuradas para aceptarlo. Desde OpenJDK 8u191 la configuracion por defecto es deshabilitarlo. Como referencia, esa version tiene mas de tres años.

Aun asi, eso no significa que utilizando una version de OpenJDK mas nueva se este completamente a salvo. La vulnerabilidad en Log4j sigue siendo critica y la recomendacion es actualizar Log4j

» autor: alvdavi

#23 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

alvdavi — Tue, 14 Dec 2021 00:15:14 +0000

Desde el equipo de AWS Corretto hemos sacado una utilidad que permite parchear este fallo de seguridad en caliente, sin necesidad de reiniciar la maquina virtual de java:
github.com/corretto/hotpatch-for-apache-log4j2

Esto puede ser util para aquellos que tienen servicios criticos que no pueden parar fuera de ventanas de mantenimiento, casos de aplicaciones que se distribuyen con todas sus dependencias y para las que aun no hay un parche o casos donde copias de las clases de log4j estan presentes en un namespace distinto

» autor: alvdavi

#22 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--419859-- — Tue, 14 Dec 2021 00:07:54 +0000

#9 Si dices java tres veces, aparece Skynet y se termina el mundo

» autor: --419859--

#21 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Polarin — Tue, 14 Dec 2021 00:06:56 +0000

#4 No puedes usar un ftp o un scp para dejar el payload y luego usar un java para ejecutarlo?

» autor: Polarin

#20 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--419859-- — Tue, 14 Dec 2021 00:05:04 +0000

#15 SÍ

» autor: --419859--

#19 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Polarin — Tue, 14 Dec 2021 00:04:37 +0000

#6 Es que el problema es el uso en redes que has penetrado, pero que no habia forma de expandirse. Ahora si y es facilisimo.

Creo que lo de menos son los sistemas que estan de cara a internet. Pero hasta aqui puedo leer...

» autor: Polarin

#18 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--624466-- — Tue, 14 Dec 2021 00:01:26 +0000

#16 A lo mejor porque le dieron tanto bombo, no sufriste los efectos. Además, la sociedad no estaba tan digitalizada.

Esto es como si todos los países hubieran actuado bien con el coronavirus (empezado por su el país de origen), que seguramente la gente estaría echando humo de que los hubieran confinado por algo más leve que una gripe.

» autor: --624466--

#17 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--624466-- — Mon, 13 Dec 2021 23:56:43 +0000

"Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación"

Soy yo, o esto no tiene el más mínimo sentido?

Imagino que han traducido framework por "entorno de trabajo" y "log" por "registro de actividad que permite monitorizar la actividad" (sic), ¿pero solo en Apache?

Me da que el que ha escrito eso ha visto poco código.

» autor: --624466--

#16 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

yolibruja — Mon, 13 Dec 2021 23:54:52 +0000

Otra catástrofe de dimensiones descomunales que acabarán con el universo... como el síndrome del año 2000 que iba a colapsar toda la sociedad... y al final si no es porque le dieron tanto bombo la mayoría ni nos enteramos.

» autor: yolibruja

#15 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--334659-- — Mon, 13 Dec 2021 23:47:51 +0000

¿Tanto se usa el log4j este?.

» autor: --334659--

#14 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--625430-- — Mon, 13 Dec 2021 23:46:30 +0000

#10 #5 Hasta el server del Minecraft ha sido vulnerable.

» autor: --625430--

#13 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

box3d — Mon, 13 Dec 2021 23:46:00 +0000

#9 y yo salvando el planeta sin saberlo...

» autor: box3d

#12 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

box3d — Mon, 13 Dec 2021 23:44:51 +0000

#4 Apache Tomcat.
Nginx sobra un rato.

» autor: box3d

#11 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

mudit0 — Mon, 13 Dec 2021 23:41:53 +0000

Después de la lava, vino el Java

(sí, ya sé que hoy estoy sembrado)

» autor: mudit0

#10 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Drazul — Mon, 13 Dec 2021 23:40:37 +0000

#5 da igual el waf porque el ataque puede usar otros vectores que para un waf deberían ser legítimos (a no ser que se meta a parsear todo el paquete http, incluido el body)

Hay pruebas de ataque a Apple cambiando el nombre de usuario de iCloud (dime cómo paras eso con un waf).

Al final todo lo que llegue al logger lo hace vulnerable, pero la petición puede ir en el body, o incluso en el path de la url.

» autor: Drazul

#9 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

pkreuzt — Mon, 13 Dec 2021 23:28:20 +0000

Lo que ya decía aquí:

old.meneame.net/c/34377344

» autor: pkreuzt

#8 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

pax0r — Mon, 13 Dec 2021 23:10:32 +0000

#7 las que yo conozco si, cloudflare te da waf gratis por ejemplo

» autor: pax0r

#7 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--42246-- — Mon, 13 Dec 2021 22:57:01 +0000

#5 Las empresas apenas invierten en tener un waf en condiciones. Así pasa luego claro

» autor: --42246--

#6 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

SeuMadruga — Mon, 13 Dec 2021 22:22:47 +0000

Pues para llevar cuatro días, todavía no se ha acabado el mundo. ¿Se acabará mañana, cuando haya todavía más sistemas parcheados?

» autor: SeuMadruga

#5 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

pax0r — Mon, 13 Dec 2021 22:13:46 +0000

#1 se puede parar con un waf filtrando el header de la petición maliciosa

» autor: pax0r

#4 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

drnth — Mon, 13 Dec 2021 21:29:45 +0000

#1 Apache y nginx, ambos escritos en C. ¿Qué dices que te van a ejecutar?

» autor: drnth

#3 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

Veelicus — Mon, 13 Dec 2021 21:28:53 +0000

Just Java....

» autor: Veelicus

#2 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

--693770-- — Mon, 13 Dec 2021 21:01:58 +0000

El apocalipsis informático del año.

» autor: --693770--

#1 Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet

pitercio — Mon, 13 Dec 2021 19:59:44 +0000

Es que es la polla, le puedes mandar cualquier .class vía http al apache o nginx preguntando lo que quieras o poniéndole a hacer trabajillos. Yo diría que es un 11 sobre 10.

» autor: pitercio