#48 Gracias por la explicación. Ya veo que en este caso se esta utilizando LDAP y para eso se necesita un servidor en remoto. Veo que hay otros como HTTP, RMI, DNS y BeanFactory, me intriga saber hasta que punto se podria explotar JNDI XBean pero no soy desarrollador y es mas bien curiosidad, asi que me esperare a ver como se va la cosa.
#45 para añadir más detalle, aunque es muy cómodo montar un servidor ldap que genere comandos dinámicos, tiene el inconveniente (o más bien ventaja para el pobre que está intentando paliar el problema)de dejar un rastro claro en el log de los comandos que se ejecutaron
Aqui muestran en el ejemplo, alguna peticion del escaneo masivo. Estas peticiones llevan un User-Agent modificado en el que esta embebido un comando (curl,wget,bash).
Lo que yo entiendo es que esa peticion podria llevar cualquier otro User-Agent con el comando que el atacante quisiera, como el del ejemplo que puse al principio. Se podria pasar una payload a base de peticiones HTTP sin tener que conectarse a un servidor remoto para descargar (a diferencia del ejemplo de Palo Alto).
#34 No. Puedes ver el ejemplo en la web de Palo Alto, donde muestran la peticion al servidor, y el comando incluido en ella. En ese ejemplo enseñan concatenado "curl", "wget", "bash" pero podria haber sido cualquier otro.
#16#26 A eso me refería, si. Parece que este parche solo sirve para versiones superiores a JDK 1.8, nosotros tenemos JDK 1.7 en algunos servidores y log4j 1.15 no es compatible con JDK 1.7
#17 que esos lenguajes son populares y tienen mucho gancho.
Los que somos rudos reinventamos la rueda en java o C, cada vez que hay que hacer una nueva aplicación.
#52 Cuarta: La mayoría de trabajos en Java son para cárnicas que buscan un picacódigos temporales para mantener la aplicación hecha en 2008 para X cliente.
Porque al menos aquí en España no hacen aplicaciones punteras en Android. Ni ningún videojuego exitoso de móvil.
Pocas aplicaciones de escritorio que funcionen bien en Java, algún IDE.
#17 Un compañero de trabajo ha hecho un fp y lo hizo en Java. Por referencias otra persona había hecho cursos de Java. Si, aún se enseña. En la educación reglada se va a lenguajes con tipados estáticos.
#63 en España? Yo hablo de hace bastantes años (tampoco una burrada que no estaban aquí) y de hace menos años por parte de conocidos, pero me alegro que la cosa esté bien de últimos años hacía ahora que es lo que hace falta.
En aquella época tenía 2 amigos en usa y era como la noche y el dia