Log4j v.2
#1
3 Ếch ơi tiêu rồi.  Bữa nay phải coi lại trong công ty mình xài log4j Version nào. Rồi viết cái script nhỏ cho comment out hết mấy dòng logger quá.  Mình viết program cho openIDM, xài một tỉ dòng logger để debug luôn. Face-with-rolling-eyes4
 Thôi log vô làm việc cho mau.

 Hav' a nice day all. Cầu bằng an. 

 


Critical vulnerability in the popular logging library, Log4j 2, impacts a number of services and applications, including Minecraft, Steam and Apple iCloud. Attackers have begun actively scanning for and attempting to exploit the flaw.


CVE-2021-44228 is a remote code execution (RCE) vulnerability in Apache Log4j 2. An unauthenticated, remote attacker could exploit this flaw by sending a specially crafted request to a server running a vulnerable version of log4j. The crafted request uses a Java Naming and Directory Interface (JNDI) injection via a variety of services including:

  • Lightweight Directory Access Protocol (LDAP)

  • Secure LDAP (LDAPS)

  • Remote Method Invocation (RMI)

  • Domain Name Service (DNS)
If the vulnerable server uses log4j to log requests, the exploit will then request a malicious payload over JNDI through one of the services above from an attacker-controlled server. Successful exploitation could lead to RCE.
In the case of Minecraft, users were able to exploit this vulnerability by sending a specially crafted message through Minecraft chat.

/* src.:  https://www.tenable.com/blog/cve-2021-44...nerability
[Image: K6bu1Jw.png]
Reply
#2
Để tui gửi xếp tui coi, tui chả biết gì về mấy thứ này. Cám ơn 5.

Reply
#3
(2021-12-13, 12:20 AM)Ech Wrote: Để tui gửi xếp tui coi, tui chả biết gì về mấy thứ này. Cám ơn 5.

 ya, anh bắn tin tức cho xếp coi đi. Log4j có mặt khắp nơi như người Mông Cổ mà. Coi có application nào của công ty anh bị affected không.

 Tụi tui OK rồi.  Công ty ForgeRock đã trấn an tụi tui là sản phẩm tụi tui dùng của họ không bị:  https://backstage.forgerock.com/knowledg.../a39102625  

 Tụi tui xài cái IDM (identity management) rồi addapt thêm functionalites cho khách hàng của mình theo yêu cầu.  Cho nên mỗi lần có tin exploit là chạy như giặc.  Rolling-on-the-floor-laughing4


PS: trên trang tui đưa có cái fix quan trọng mà dễ như cơm sườn:


Quote:A recommendation has been published by the Apache Logging Security team (https://logging.apache.org/log4j/2.x/security.html) to mitigate this vulnerability by making the following setting change in the Java Virtual Machine: 

log4j2.formatMsgNoLookups=true

 Nếu bạn bè hay ai làm công ty nào bị dính thì set disabled nó trước khi update lên log4j version cao hơn.
[Image: K6bu1Jw.png]
Reply