|
|||||||
|
|
|
 |
|
|
Strumenti |
16-12-2021, 09:41
|
#1 |
|
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75173
|
Link alla notizia: https://www.hwupgrade.it/news/sicure...ch_103272.html
L'aggiornamento 2.15.0 emesso per risolvere la falla Log4Shell e già dimostratosi incompleto, introduce in realtà una nuova vulnerabilità che può essere usata per l'esfiltrazione di dati Click sul link per visualizzare la notizia. |
|
|
|
16-12-2021, 10:41
|
#2 |
|
Senior Member
Iscritto dal: Nov 2003
Città: VERONA
Messaggi: 9150
|
Quanche anima pia mi spiegherebbe cosa dimostra il video di cui sopra ?
Tnx.
__________________
Thezeb@PSN  "I POTENTI INFINE CADRANNO E DIVENTERANNO POLVERE NEL VENTO" ** GoT
|
|
|
|
|
16-12-2021, 11:30
|
#3 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Reggio Emilia
Messaggi: 6837
|
Quote:
c'è gente che formattando una query nella pagina di login di icloud, riusciva a far comunicare i server apple con i propri
__________________
..frengaaa..dov'è l'asciugamano FRENGA!!??..hihi..  Ah ecco.. 
|
|
|
|
|
|
16-12-2021, 11:39
|
#4 |
|
Senior Member
Iscritto dal: Nov 2003
Città: VERONA
Messaggi: 9150
|
me cojoni ...
__________________
Thezeb@PSN "I POTENTI INFINE CADRANNO E DIVENTERANNO POLVERE NEL VENTO" ** GoT
|
|
|
|
|
16-12-2021, 13:37
|
#5 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Reggio Emilia
Messaggi: 6837
|
Quote:
__________________
..frengaaa..dov'è l'asciugamano FRENGA!!??..hihi.. Ah ecco..
|
|
|
|
|
|
16-12-2021, 15:57
|
#6 |
|
Member
Iscritto dal: May 2008
Messaggi: 112
|
C'è qualche metodo per capire dove viene usato questo Log4j?
|
|
|
|
|
16-12-2021, 18:04
|
#7 | |
|
Member
Iscritto dal: Apr 2005
Messaggi: 233
|
Quote:
Scherzi a parte: la domanda è "dove NON viene usato"... perchè viene utilizzato praticamente in quasi tutti i progetti basati su Java, che viene a sua volta utilizzato in praticamente tutti i settori dall'industria ai servizi. Considera che ogni azienda ha di solito diverse decine di progetti basati su Java, alcuni dei quali probabilmente non ricordano nemmeno di avere... e la portata del problema comincia a diventare chiara. Questa falla è un problema ENORME. Roba proprio che mi aspetto comincieranno a usarla per andare a fare operazioni di ransomware sia mirate che ad ampio spettro, furti di informazioni, furti di asset finanziari, distruzione di archivi di ogni tipo, spionaggio... Insomma: è la vulnerabilità più pericolosa secondo me mai vista. |
|
|
|
|
|
16-12-2021, 22:06
|
#8 | |
|
Senior Member
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6648
|
Quote:
Più che altro imho questa vulnerabilità ha messo in luce un malcostume sia a livello applicativo che architetturale. Da una parte l'uso a prescindere di librerie e tool su cui nessuno riflette o approfondisce (io sono vent'anni che mi trovo tra i piedi log4j e non ho mai visto nessuno sviluppatore usarlo o conoscerlo decentemente, lo usano tutti ma sempre e solo lasciando tutto a default, quindi con rotazione dei log pessima, retention pessima, niente compressione etc etc...). Dall'altro architetture fatte appunto "a membro di segugio", ovvero host lasciati liberi di fare il traffico in outbound senza limitazioni di alcun tipo, e se qualcuno osa proporre di usare un proxy o restringere le regole perimetrali di outbound su host, protocolli e porte specifici apriti o cielo, levata di scudi di sviluppatori e PM "perchè così non possiamo lavorare" 
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." |
|
|
|
|
).|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 11:25.
