Log4j
Еще на тему этого прекрасного происшествия: https://log4jmemes.com/
16.12.2021, 17:09
Это сильно опасно?
вот тут немного более доступно и с шутейками:
https://thenextweb.com/news/log4j-bug-internet-open-source-contributors-analysis
https://thenextweb.com/news/log4j-bug-internet-open-source-contributors-analysis
только если это еще и торчит в интернет голой жопой
Я в курсе. Гибкость-то у него есть.
Но сделано оно крайне громоздко, в том плане, что ресурсов на сраное логгирование уходит чрезвычайно много, и многие просто этого даже не знают, потому что даже не запускали профайлер.
Я видел ситуации, когда вывод логов жрал больше ресурсов, чем вся бизнес-логика суммарно, и это пиздец.
Но сделано оно крайне громоздко, в том плане, что ресурсов на сраное логгирование уходит чрезвычайно много, и многие просто этого даже не знают, потому что даже не запускали профайлер.
Я видел ситуации, когда вывод логов жрал больше ресурсов, чем вся бизнес-логика суммарно, и это пиздец.
Энтерпрайз обычно срёт гигабайтами логов. Просто потому, что по ним можно понять, что наебнулось в проде. На каждое действие пишется инфа в лог. И это часто забирает половину ресурсов машины.
Поскольку у энтерпрайза часто 20 обновлений в неделю, понятие "релиза" весьма расплывчатое.
Поскольку у энтерпрайза часто 20 обновлений в неделю, понятие "релиза" весьма расплывчатое.
>громоздкой поебени
таков java-путь
таков java-путь
Скорее, таков путь энтерпрайза. На жабе прекрасно можно писать очень аккуратно, и даже более эффективно, чем на плюсах(но это особый JIT-tune дзен). Но только не с использованием энтерпрайз хуйни, типа спринга, log4j, и прочих хибернейтов. Эти поебени полны рефлекшна, миллиардов уровней абстракций, сотен аллокаций просто на ровном месте, и постоянного переливания из пустого в порожнее.
Но да, для галер это всё равно вариант. Куча тренированных гребцов знает эти энтерпрайз-столпы, и может быстро писать очередную прослойку между бд и браузером, за которую банки, и прочий бизнес, платят. Им не надо, чтобы быстро работало, им надо быстро сделать. И это тоже имеет право на жизнь.
Но да, для галер это всё равно вариант. Куча тренированных гребцов знает эти энтерпрайз-столпы, и может быстро писать очередную прослойку между бд и браузером, за которую банки, и прочий бизнес, платят. Им не надо, чтобы быстро работало, им надо быстро сделать. И это тоже имеет право на жизнь.
Ява такая ява…Всегда такая была
Список софта со статусом уязвимости (уязвим/не уязвим/исследуется)
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
"Проблема вышла на первый план через сайты Minecraft , когда исследователи обнаружили, что определенная строка, передаваемая на сервер или даже в игровой чат, может дать злоумышленникам контроль над системой."
В метаверсе уязвимости нулевого будут выглядеть и работать как заклинания
В метаверсе уязвимости нулевого будут выглядеть и работать как заклинания
Зато благодаря log4j можно оценить востребованность в ява-программистах. Хотя это и так было понятно.
и то если жабе больше трех лет
вот хорошее саммари https://jfrog.com/blog/log4shell-0-day-vulnerability-all-you-need-to-know
вот хорошее саммари https://jfrog.com/blog/log4shell-0-day-vulnerability-all-you-need-to-know
короче - нужна комбинация старой жабы, новой всратой либы для логгирования, и удачного места для логгирования
это только для триггера, реальный эксплоит я пока не видел
в общем, если б не майнкрафт - никто б и не заметил
но пока из жабы полностью не выпилят подгрузку классов или хотя бы стандартный рефлекшен - такие проблемы будут периодически возникать
это только для триггера, реальный эксплоит я пока не видел
в общем, если б не майнкрафт - никто б и не заметил
но пока из жабы полностью не выпилят подгрузку классов или хотя бы стандартный рефлекшен - такие проблемы будут периодически возникать
Никогда не выпилят. Почти весь энтерпрайз на всратом спринге, который весь пронизан рефлекшном. Если в джаве его выпилят, энтерпрайз накроется пиздой. Точнее, останется навечно на старой версии, что ещё хуже.
А подгрузка классов - это как-бы, базовая функциональность, её невозможно выпилить.
А подгрузка классов - это как-бы, базовая функциональность, её невозможно выпилить.
чё?
да хуй знает слишком уж хуй проссышь что за шутка в картинке, только нагуглив стало понятно что нашли очередную дыру в log4j
https://habr.com/ru/company/kaspersky/blog/595287/
https://habr.com/ru/company/kaspersky/blog/595287/
