а безопасники это такие волшебники, которые сразу вникнут в код либы и поймут, где там шерето а где всё безопасно написано?

Задача безопасника – не мешать разработке. Это миф, что безопасники смотрят какой-либо код. Они смотрят список CVE и иногда натравливают какой-нибудь converity (который, кстати, проблемы настоящие находит очень редко).

Задача безопасника – не мешать разработке.

На самом деле это не совсем так. Ибо основная задача - пиз-ть программеров и, желательно, с ноги и по кикичкам. Потому как по другому эти долбоящеры не понимают.

Кто тут на самом деле является долбоящером хорошо показывает данная новость. Описанное в документации поведение бравые безопасники, которые «анализируют код», пропустили.

ну в таком случае, безопасник никак не поможет в случае с решетом в log4j.

поможет внятное описание фич и принципов работы библиотек в виде выжимки. например

log4j умеет подставлять в {} переменные окружения и прочие значения. log4j ПОСЛЕ этого умеет вызывать jndi которое может выполнить код указанный в {jndi:....}.

этого конечно же жопоруки не делают потому что тыжпрограммист, смотрите исходники блаблабла. Даже в общих чертах лень описать своё сраное поделие.

ну в таком случае, безопасник никак не поможет в случае с решетом в log4j.

Он ни в каком случае не поможет. Безопасники не ищут уязвимости они проверяют, что софт удовлетворяет каким-то формальным требованиям. Например, бесполезные проверки coverity проходят. Сабжевой фиче сто лет уже, ни один безопасник за все годы не смог увидеть, что эта фича опасна.

поможет, уже же выше написали, там где грамотные админы и безопасники эту уязвимость даже патчить не надо, она закрыта на уровне безопасности сетевого взаимодействия.

Это на 100% не спасает, так как злонамеренный jndi сервис может работать во внутреннем контуре.

ну так во внутреннем это во-первых совсем другая история и виновных найти будет очень просто, во-вторых его можно зарезать так, что он и на локальной машине не будет работать. Но это все равно не умоляет того факта, что это дыра уровня халатности, мол мы реализовали функционал, мы оставили его по умолчанию работающим у всех, мы документировали этот функционал, а за безопасность пусть у кого-то другого голова болит.

половина интернета на джаве

Меньше 5%.

лоол валялсяпатсталомвсембанком.

Практический весь банковский тырпрайс это десктоп на Eclipse RCP/sWT

Бывшие фотографы и таксисты со знанием HTML и CSS, готовые изучать смарти. Место джава сеньора и архитектора может быть вакантно и по три и по четыре года.

Вот вот, дело говоришь. Я именно так и обосновал, зачем нужно избавляться от JAVA стека в нашем предприятии. PHP все знают, а JAVA - да ну ее нафиг. Прошло 5 лет, полет нормальный.

Как вы сможете избавиться от джава стека, если его нечем заменить?

В середине нулевых были попытки перенести джава на тогда еще хайповую 1С восьмерку.

Конечно, все заканчивалось провалом

заменить можно почти чем угодно, но это никому не надо по ряду причин.

Ты передергиваешь и не следишь за предметом дискуссии. Все именно это я и говорил

Задача безопасника следить за списком non permitted technologies и списком уязвимостей у permitted technologies. Если у кого то Java6 до сих пор permitted technologies, то эти товарищи сами сбе буратины а cio такого энтерпрайза даром ест свой хлеб

Да, считаю нормальным парсить данные, считаю нормальным даже исполнять эти данные если это решает мою задачу, в чем проблема? Это такие же данные и код, как и все остальные данные и код

Неа. Это глупо. Если к строчке лога необходимо присовокупить метаданные - это необходимо делать отдельно от сериализируемой строки. Аля Logger->Log(Str,{ code : ''}) Строка лога - это именно текст для прочтения человеком, а не машиной

Внезапно, упомянутый мной sun.misc входит во все версии java и является частью java-core. Сюрприз, да? И при чем тут безопасники и «non permitted technologies»? За дискуссией все же рекомендую следить, прежде чем открывать рот и бредить.

Сюрприз, да?

а в Java7 этого сюрприза нету? То есть вам нравится sun.misc именно в тот что именно Java6, да, и ни пунктом выше? Для любителей поныть:

================================ The Java 8 Unsafe class, sun.misc.Unsafe, warns us of its very nature immediately, not only in its name, but also by the package in which it lives. The sun.misc package is an internal, implementation-specific location, and Java code should never touch it directly. In Java 9 and later versions, this backstage nature is made even clearer because the functionality of Unsafe moved to a module called jdk.unsupported.

как видите sun.misc есть даже в Java8 и в Java9. Но вам - любителям извращений - нужен непременно именно Java6. За дискуссией все же рекомендую следить, прежде чем открывать рот и бредить.

как видите sun.misc есть даже в Java8 и в Java9.

Именно! Про это я и говорю! И при чем тут java6? Ты вообще читать умеешь?

Эта дискуссия превратится в «сам дурак», так что даже не начинайте. Можно посмотреть на это с другой стороны, что такое метаданные? Или, допустим, зачем плодить лишние сущности в виде метаданных, на ваш вариант? Это вполне нормальное решение, единственное в чем можно обвинить это в халатном отношении к своим пользователям, но не в глупости реализации это точно.

И при чем тут java6? Ты вообще читать умеешь?

Ты вообще читать умеешь? в серьезном энтерпрайзе всегда есть список Non-permitted technologies, за который отвечают контрестные люди в подчинении CIO/CTO, и если таковой список отсутствует, то это - несерьезный энтерпрайз, а его CIO - некопенгаген. Java6 уже давно должен быть в списке Non-permitted technologies.

Ну и? Как я понимаю, в таких конторах софт с Java6 на Java7 и выше переписывает лично CTO.

Лооол.

В таких конторах софт с Java6 на Java11 переписывает какой нибуть экстерн

Вот вот, а потом в процессе такого переписывания появляются фичи вроде string-substitution, который ходит в удаленный сервис :)

Вы так говорите, как будто этот паттерн описан у самого Фаулера

Можно посмотреть на это с другой стороны, что такое метаданные? Или, допустим, зачем плодить лишние сущности в виде метаданных, на ваш вариант?

Метаданные - это данные описывающие другие данные (в данном случае строку лога) В том то и дело что они не лишние - у каждой строки есть priority, facility, ident. Сам термин «лог» отличается от термина «вывод» тем что строки отличаются приоритетом, датой, названием процесса - то есть ценность лога именно в метаданных прикрепленных к строке Метаданные уже есть в log4j - просто разработчики зачем то вместо создания еще одного поля засунули метаданные в саму строку.

А я не удивлюсь, если он там есть. Почитатели Фаулера обычное такоое пишут, что волосы дыбом встают от увиденного.

это не «документировали», такие фичи должны крупным текстом отдельно описываться. и быть по дефолту отключенными.

механизм работы substitution и lookup описан в документации, я уже выше даже цитировал часть документации, там английским по вебстранице чуть ли дают не руководство к действию как заюзать эту дыру через jndi lookup, просто видимо никто особо документацию не читал и этим функционалом не пользовался.

там реально написано, что дыру можно заюзать, заслав в лог любую строку подходящего формата, или сообщается ложная информация о том, что это работает только для строк введенных разработчиком, а сами подстановки никак не анализируются?

там описано как работает механизм лукапа и субститушена, и написано что когда источником данных служит лдап вы можете иметь гарантии что данные не придут с неподконтрольного хоста путем списка ограничения на то, с каких хостов могут прийти данные. Т.е. они самолично расписались в своей халатности прямо в документации, мол наша хата с краю, вопросы безопасности не наша головная боль.

по хорошему подстановку и лукап для jndi надо было сделать опциональной, а не дефолтной с дисклеймером большими красными буквами в документации, что этот функционал подвергает систему опасности без должной дополнительной настройки.

там реально написано, что дыру можно заюзать, заслав в лог любую строку подходящего формата

там в более мягкой форме это описано, не сказано что прямо все будет интерпретироваться и исполняться, в зависимости от того что и как подставляется, но тем не менее да, там есть вполне очевидные слова о том что это так в такой формулировке "Log4j 2 supports the ability to specify tokens in the configuration as references to properties defined elsewhere. Some of these properties will be resolved when the configuration file is interpreted while others may be passed to components where they will be evaluated at runtime."

С чего бы это? Ты еще скажи, что какой-нибудь Керниган-Ритчи во всех главах про указатели должны красными буквами предупреждение вешать, что они опасны, а в компиляторы должны иметь специальный супер-сложный ключ для их включения. Фича описана в документации? Описана! А то что пользователь не читал документацию, так он сам дурак!

ну всё, пошли виляния жопой. их не так поняли, просто надо как-то правильно настроить, кококо.

ты еще прогони, что дыры никакой нет, а CVE открыли параноики.

во-во. Жабомакаки не обосрались, их просто не так поняли, все работает как и задумано эта ынтерпрайз. И CVE можно закрывать, вы просто не умеете настраивать жабу.

лукапа и субститушена

Бутстрап и эвалуэйшен в Лас-Вегасе.вебм

так что вы мне это пишите, я то тут при чем, я как бы говорю что они как раз виноваты в халатности и предоставлении ничем не прикрытой удаленной инъекции хоть и документированной и в одном из случаев даже сказали как ее прикрыть(лдап вариант). Но по сути так и получается, это не какой-то выход за диапазон или любой другой вид именно ошибки связанной с невнимательностью или логикой, тут просто дали функциональность и сделали ее включенной по умолчанию, описав в документации как это работает без истерики что это может быть опасно. Еще раз для вас процитирую себя же:

по хорошему подстановку и лукап для jndi надо было сделать опциональной, а не дефолтной с дисклеймером большими красными буквами в документации, что этот функционал подвергает систему опасности без должной дополнительной настройки.

так быстре и в терминах документации, лень придумывать им русский варинт типа поиска@просмотра и подстановки или что-то в этом духе.

Я не знаю обосрались они или нет. Если это стиль такой, то скорее не обосрались. Я не удивлюсь, если в каком-нибудь монструозном говне типа спринга, которое сейчас тащат во все проекты на жаве от калькулятора до ынтерпрайза на миллион строк завтра найдут аналогичную фичу. А ведь почти наверняка найдут :)

Тоньше

И нам прибавится работы.

А пыхеры сейчас сидят без работы и переучиваются на дворников. Чтобы без потери квалификации и зарплаты.

Как я понимаю, в таких конторах

вы никак не понимаете

я знаю что обосрались.

Я пользовался log4cxx, который похож на этот log4j, так что интерфейс представляю. Там задаётся форматная строка при каждом выводе, и по идее разбирать конструкции для подстановки надо было только оттуда. Ну казалось бы, что сложного. Уж если хотелось разбирать после подстановки, ну у них же уже есть синтаксис вида {{}}. Просто работать надо было с той строкой, которую дал программист.

но для этого же надо думать что пишешь, а это так сложно.

уже в 2.16.0 нашли еще дыру. в дыру можно напихать даже через браузер. самое прекрасное:

Внесение изменений в пакеты необходимо для обновления требований к зависимостям и замены привязок к старым версиям на исправленные версии Log4j 2 (в Java-пакетах практикуется привязка к конкретной версии, а не открытому диапазону, допускающему установкой самой свежей версии).

Вот эти клованы собирались уничтожить С++ десятилетие назад, omg.

Фигурально выражаясь, жабисты обосрались настолько свирепо и неистово, что шаровары разорвало на лоскуды, сама жаба на коричневой реактивной струе носится по своему болоту аки аквабайк, и останавливаться даже не собирается. Даже если чопик забить и залить эпоксидкой, всё равно тяга будет через иные технологические отверстия.

проектировать? думать головой? да ну нафиг, во всём виноват С++, а мы обколемся смузи и будем херак-херак в продакшен энтерпрайз секурно тырыпыры а потом вот такие гениальные решения получаются.

Я разрабатывал для нескольких банков софт на джаве. Ни разу даже не слышал что бы кто-то использовал Eclipse RCP/sWT.
Только web, остальное никому не нужно.

Не так много альтернатив. Есть .net, у него есть своя ниша. Есть питон, но большие сервисы на м не пишут. Есть экзотика вроде скалы, но это маленькая часть. И главное, есть nodejs, его действительно много где используют.
Но у джавы есть своя просторная ниша и уменьшаться она не собирается.

Ну да, а аналоги 1Cки десктопной они все пишут на свинге.

Есть питон, но большие сервисы на м не пишут.

Что значит большой?

Instagram - не большой? Dropbox - не большой? Да ещё масса их, к части я руку приложил, но не обо всех могу говорить.

Да на самом деле, используют вообще много чего, а зачастую именно внутри банковское по вообще не самописное, а при царе горохе купленное, написанное на технологиях тех лет, и бережно поддерживаемое силами самого банка когда разработчиков этой системы уже и на рынке то нет, а она из себя представляет привет из начала 90х с вырвиглазным неудобным интерфейсом, и такой же функциональностью, требующая очень специфичной настройки, имеющая проблемы с интернационализацией. Это только последние десятки лет, везде все в веб что можно пытаются перетащить. Так что как повидавший много банковского по могу сказать что там такой же зоопарк из языков реализации, и если есть возможность купить софт под нужды это будет сделано, разработка будет выбрана только тогда, когда нет ничего подходящего под задачу на рынке.

Да и кто всё это будет заменять в уже УСТАНОВЛЕННОМ ПО?

Пионеры.