On Thu, 16 Dec 2021 08:22:33 +0100, ArchiPit wrote:
> Anche io credo che non sarà una apocalisse, comunque ho appena
> verificato che quel file log4j*.bin è facile sia presente anche nei pc,
> dato che i sw di Sogei per pagare iva e tasse utilizzano java.
dovrebbe essere un *.jar, non un *.bin.
inoltre è la versione 2 ad essere affetta. la versione la vedi spesso nel
nome del file, ma più esattamente nel manifest del jar.
inoltre non è detto che sia un jar separato, dipende da come è
distribuita l'applicazione.
realisticamente poi bisogna vedere se e come è exploitabile. una
applicazione web lo è certamente, così come una applicazione server. una
applicazione client è molto meno scontato. perché se per far partire
l'exploit l'attaccante deve modificare il programma allora a quel punto
vale tutto; a quel punto non ha bisogno di passare dal log4j per fare un
jndi lookup e eseguire codice arbitrario, modifica il codice può farlo
direttamente, come può ovviamente fare cose molto più gravi.
beninteso, non è assolutamente una falla da poco, anzi, è enorme. ma la
sua pericolosità è quando *dall'esterno* si può iniettare il codicillo
che, dato in pasto al log4j, produce l'exploit. questo in una
applicazione web può essere verissimo e di una semplicità disarmante, per
una applicazione desktop non altrettanto.