这几天全世界的网络安全人员都在忙着处理log4j漏洞,我都开了无数的会了。Apache竟然爆出这么大的核弹级bug。
-stanley(唱着歌破裸绞) 2021-12-17
外行问:是阶级斗争的结果么?
-1yizhen(yizhen) 2021-12-17
看来大家都是睁眼瞎,居然十几年了黑白两道都没有上心。
-the_dumb_one(悔不该) 2021-12-17
和apache没啥关系,是java开源系统,
-googlebot(bot) 2021-12-17
都影响什么系统呀?或者说有什么问题表现出来呀?
-letempsdescerises(寻常院落云淡风轻) 2021-12-17
想起老大上次半路截取比特币黑钱,一定是利用了已经掌握的漏洞
-xiaozuiba(xiaozuiba) 2021-12-17
老大厉害
-letempsdescerises(寻常院落云淡风轻) 2021-12-17
啥问题哈,咖啡喝太多了?
-manniangpai(盲打) 2021-12-17
Apache帐下的东西很多是别人捐的,谷歌脸书都是捐献大户。Apache接手后只管维护。这次log4j的漏洞,这么快就有了patch,也算奇迹了。其实仔细看看,影响不是太大。首先微软的东西不受影响,其次新和太老的版本不受影响。当然还是有系统宕。
我们想趁此机会关掉几个老系统未能如愿。我趁机整顿了自己的东西,拿着security的报告,把以前不好意思的事儿都做了😃 -piglet(小猪) 2021-12-17
这个patch不算快。拖了2周多,而且第一个fix还是有问题。而且影响很大,很容易被利用。
-iamflying(叶和花) 2021-12-17
这个bug存在很长时间了,被阿里的研究员发现,还是很了不起的。
-geekcode(文心雕码) 2021-12-17
肯定也有别人更早知道,甚至是故意留下的,实际上过去很多应用系统设计都有很多后门方便修改
-giss(rr) 2021-12-17
大概率是人家自己留的后门,这类东东没被发现的估计还有大把……
-guestagain(guest again) 2021-12-17
我也跟瞎起哄了一把,建了几个TICKET, 开了几个讨论会,强调了一下重要性,跟踪了一下进程,攒了些时间好来灌水
-ff2021(ff2021) 2021-12-17
其实也不是多大事情,多好的机会赚钱啊。从15号到现在,各个厂家不停update什么产品受影响,最新看到IBM HMC都受牵连,只是这玩意通常都是不联网的,有洞也不用补。现在只是在评估有多少系统会在新年前真的需要补漏,其他放放,这漏洞看起来也有很长一段时间了。
-projects(pj) 2021-12-17
网络安全人员怎么会处理这个问题,都是写application的处理,谁让你用了。我们的云上服务上周五已经动手修改了,周末已经全部修复,几万个application,周一通知客户是,大部分都不知道怎么回事,估计要很长时间才能修复。(政府的效率啊,周末休息,法律也不允许加班。)
-sxffff(lookingforjob) 2021-12-17
也可以。用入侵检测IPS挡住jndi url
-remdesivir(larevo) 2021-12-17
这个要有的话早就已经包括JNDI injection, 你说的是WAF吧,临时加上去?就算有了application也要改。
-sxffff(lookingforjob) 2021-12-18
F5紧急发布了解决办法,在WAF上enable借JNDI attack signature,我在log中看到了很多被block掉的attack。当然,最终后台的application肯定也要升级。
-stanley(唱着歌破裸绞) 2021-12-19
log4j的补丁是没完没了。这几天下来,已经第三次了。需要升级到2.17.0
-iamflying(叶和花) 2021-12-21
log for j 2


:

-binghongcha76(一只大猫) 2021-12-22
log for j 2