看帖神器
北美华人网
登录
📱 💾  ←   下载《看帖神器》官方 iOS App,体验轻松追帖。

有人因为log4j安全issue在熬夜的?今天不知道多少公司打补丁。巴巴的程序员发现的,厉害

查看北美华人网今日新帖
最新回复:2021年12月11日 22点43分 PT
共 (38) 楼
  返回列表订阅追帖只看未读
更多选项  
c
crystal007
2 年多
楼主 (北美华人网)
巴巴的一个researcher发现Java 的Log4j有重大安全漏洞。输入一串字码可以连接控制服务器。今天多少公司忙的四脚朝天。我这半夜一点还有上prod 要干通宵了看样。估计牵扯面之广可媲美千年虫时候了
https://www.google.com/amp/s/www.wired.com/story/log4j-flaw-hacking-internet/amp
z
zoaldyeck11
2 年多
下午5点起修到晚上11点。。搞完了
c
crystal007
2 年多
下午5点起修到晚上11点。。搞完了
zoaldyeck11 发表于 2021-12-11 04:18

我们组太多排队上prod
珞珈山街
2 年多
很多已废弃用java了。
千渔千寻
2 年多
回复 1楼crystal007的帖子
好像仅限于一些版本jdk和log4j,有一些版本不受影响。

H
Hesterhql
2 年多
新项目应该是用logback
c
chanelmiu
2 年多
哪些版本的idk啊?log4j哪个version? 只在内网不在外网的website应该不受影响吧?
w
withbighope
2 年多
哪些版本的idk啊?log4j哪个version? 只在内网不在外网的website应该不受影响吧?
chanelmiu 发表于 2021-12-11 09:57

这玩意内网也能爆,连测试环境都得补。折腾一天总算完事了。累疯了。我就想国内九九六的人怎么活的呀,我一天就累这样了。
试试看
2 年多
哪些版本的idk啊?log4j哪个version? 只在内网不在外网的website应该不受影响吧?
chanelmiu 发表于 2021-12-11 09:57

https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=recentlyviewed
m
minqidev
2 年多
嗯,估计很多人加班
l
lnghng
2 年多
这玩意内网也能爆,连测试环境都得补。折腾一天总算完事了。累疯了。我就想国内九九六的人怎么活的呀,我一天就累这样了。
withbighope 发表于 2021-12-11 10:00

活不了的都被开除了或自己走了呗。
千渔千寻
2 年多

系统提示:若遇到视频无法播放请点击下方链接
https://www.youtube.com/embed/Y8a5nB-vy78?showinfo=0
b
babyduck
2 年多
哈哈,上来握个手,昨天4点开始就没完没了的开会,四处救火,搞到10点多才折腾完,待会儿继续开会,VP说这是加入公司25年来第一次周六中午工作开会
c
crystal007
2 年多
哈哈,上来握个手,昨天4点开始就没完没了的开会,四处救火,搞到10点多才折腾完,待会儿继续开会,VP说这是加入公司25年来第一次周六中午工作开会
babyduck 发表于 2021-12-11 10:59

我们从下午三点搞到凌晨6点,我后面还有组。主要是signoff cas prod 一个个deploy 啊
q
qianqianmom
2 年多
收到公司通知了,还好不用Java。
金银岛
2 年多
Log4net也有同样问题吗?
i
iheartnyc
2 年多
不用java的照常休息
m
meidong20
2 年多
我们的从waf上做了个补丁。咋做的不知道。反正我们没折腾
g
gokgs
2 年多
Java 一堆垃圾。光log 就整个好几个版本。太垃圾了。
C
CleverBeaver
2 年多
厉害
r
ray_golden
2 年多
第一时间防火墙时加个rule,屏蔽相关的url,后面可以慢慢改,升级jdk或者加启动参数也可以,写code的码农没啥压力吧
c
crystal007
2 年多
第一时间防火墙时加个rule,屏蔽相关的url,后面可以慢慢改,升级jdk或者加启动参数也可以,写code的码农没啥压力吧
ray_golden 发表于 2021-12-11 16:45

这个是特殊字符串,啥地址都可以pass,没法屏蔽
y
youdai
2 年多
第一时间防火墙时加个rule,屏蔽相关的url,后面可以慢慢改,升级jdk或者加启动参数也可以,写code的码农没啥压力吧
ray_golden 发表于 2021-12-11 16:45

现在都是DevOps,写Code的码农从头到尾全程负责,哈哈
y
youdai
2 年多
这个是特殊字符串,啥地址都可以pass,没法屏蔽
crystal007 发表于 2021-12-11 16:55

这个漏洞攻击面几乎是无穷大,防火墙根本搞不定
m
meidong20
2 年多
我们公司是屏蔽了malicious request。 应该还是有办法的。昨天一度很恐慌- 因为code freeze。 后来就没事了
c
citizenship
2 年多
昨天我们也开会了,主要是log4j2的v2.14.1,必须立刻改,提供了几个方案,别的版本还ok
i
iceox
2 年多
哈哈,转行到 admin 十年多了,不再写 code, 爽
r
ray_golden
2 年多
这个是特殊字符串,啥地址都可以pass,没法屏蔽
crystal007 发表于 2021-12-11 16:55

https://blog.cloudflare.com/cve-2021-44228-log4j-rce-0-day-mitigation/
r
ray_golden
2 年多
现在都是DevOps,写Code的码农从头到尾全程负责,哈哈
youdai 发表于 2021-12-11 17:29

码农dba你好
l
luluzlemonadez
2 年多
我们组已经讨论了一天了😂
d
dragonfire
2 年多
我老公7点左右到听到消息,不过他不负责这块。然后他给他朋友也是我公司同事打电话通报这事儿,我同事还没听说,然后不知道我同事怎么处理的😂
B
Banana.Republic
2 年多
一天一个ticket,真酸爽
m
meidong20
2 年多
Java 一堆垃圾。光log 就整个好几个版本。太垃圾了。
gokgs 发表于 2021-12-11 16:15

这回复还有人点赞🤷‍♀️
r
ray_golden
2 年多
我们安全组小哥周四晚上看到消息,感叹周五会是忙碌的一天。周五早上查日志看到bugcrowd周五凌晨2点多已经开始扫描了。周五早上cloudflare提供了waf rules,所有public facing的恶意访问被截断。你们应该有安全组的人先发现和devops来应对(不用cloudflare的改一下jvm启动参数禁掉message lookup ,码农后面慢慢升级log4j版本。貌似很多码农都是全栈了,连安全都站,你们oncall还收安全cve报警?
B
Banana.Republic
2 年多
我们安全组小哥周四晚上看到消息,感叹周五会是忙碌的一天。周五早上查日志看到bugcrowd周五凌晨2点多已经开始扫描了。周五早上cloudflare提供了waf rules,所有public facing的恶意访问被截断。你们应该有安全组的人先发现和devops来应对(不用cloudflare的改一下jvm启动参数禁掉message lookup ,码农后面慢慢升级log4j版本。貌似很多码农都是全栈了,连安全都站,你们oncall还收安全cve报警?
ray_golden 发表于 2021-12-12 01:00

香蕉厂:什么是devops?
r
ray_golden
2 年多
香蕉厂:什么是devops?
Banana.Republic 发表于 2021-12-12 01:03

哦,香蕉厂码农自己做base iamge啊,我们是devops做tomcat的docker image脚本,安全组enable waf rule,devops改image脚本加环境变量,jenkins job run一下出新base image,各组trigger build出个patch deploy去线上,后面再改log4j property或者升级版本。两三个人基本搞定了。怎么还看有人讨论一天的
不用cf的做个filter 的envoy lua脚本,过滤一下header也很容易,可能大部分码农都是写app的?
w
wfmlover
2 年多
看不懂这个楼的,肯定不是码农 举手,我先来 虽然老板给全组发了email
m
meidong20
2 年多
香蕉厂码农是个啥梗
看帖神器 © 2024 Kantie.org