Vlákno názorů k článku
Vzdálená zranitelnost Log4j ohrožuje Minecraft i jiné Java programy od Filip Jirsák - Tak už se něco podobného objevilo i v...

  • Článek je starý, nové názory již nelze přidávat.
  • 14. 12. 2021 16:15

    Filip Jirsák
    Stříbrný podporovatel

    Tak už se něco podobného objevilo i v Logbacku: https://jira.qos.ch/browse/LOGBACK-1591 Byla vydána verze 1.2.8, která zakazuje veškeré JNDI vyhledávání v Logbacku, dokud nebude možná zranitelnost lépe prozkoumána. Podmínkou zneužití je možnost zápisu do konfiguračního souboru Logbacku aplikací, je tedy doporučeno konfigurační soubory pro logování mít pro aplikaci pouze pro čtení.

  • 14. 12. 2021 16:29

    Filip Jirsák
    Stříbrný podporovatel

    Z PoC už je jasnější, že Logback samotný neumožňuje přepsat ten konfigurační soubor. Problém je tedy v tom, že pokud útočníkovi umožníte (nějakou jinou chybou) přepsat konfigurační soubor Logbacku, může Logback překonfigurovat tak, aby bylo možné zneužít nějakou chybu při vyhledávání JNDI. Pak si ale dovedu představit lepší způsoby zneužití – třeba přepnutí úrovně logování na DEBUG a nastavení nějakého loggeru, který odesílá data po síti – třeba e-mailem nebo přes TCP/IP.

    Better safe than sorry.