Kryptowaluty za prawie pół miliona złotych wykopane dzięki luce Log4j
No to całkiem sporo jak na tak krótki okres.
Jestem pewien że takich zgłoszeń prawdopodobnie będzie więcej.
Ja się zastanawiam jak w ogóle doszło do tego ze tak poważna luka została niewykryta przed wydaniem wersji.
Prawdopodobnie było to już gdzieś wyjaśniane ale albo nie widziałem albo nie zapamiętałem.
Zwalą to pewnie na stażystę.
Ja się zastanawiam jak w ogóle doszło do tego ze tak poważna luka została niewykryta przed wydaniem wersji.
Co ciekawe na konferencji Black Hat USA 2016 poruszony został problem i potencjalne zagrożenia płynące z niektórych funkcji JNDI. W dużym skrócie pozwala ono przesyłać całe obiekty z Javy, co może pozwolić atakującemu na wykonanie złośliwego kodu na serwerze ofiary. Dokładnie to się stało. ( https://www.youtube.com/watch?v=Y8a5nB-vy78 )
Powody?
Log4j jest bardzo dużą i bardzo konfigurowalną biblioteką, mającą pokryć wiele różnych sytuacji oraz oferującą bogaty wachlarz funkcjonalności. Dodatkowo sam styl w jakim została napisana nie za bardzo pomaga. Moim (i nie tylko) zdaniem bardzo chaotycznie obiektowy, bo pozwalający na wiele błędów i utrudniający analizę i pozwalającym na uniknięcie mechanizmów bezpieczeństwa (co też się stało).
Tak samo JNDI to dosyć zaawansowana funkcja, posiadająca kilka haczyków i potencjalnych problemów.
Dodajmy do tego, że walidacja inputu bardzo często sprawia problem i mamy przepis na katastrofę.
Inne ciekawe materiały/źródła:
https://www.youtube.com/watch?v=w2F67LbEtnk
https://www.youtube.com/watch?v=iI9Dz3zN4d8
