info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Il solito articolo sensazionalistico?
17 views
Skip to first unread message
Esu
Dec 14, 2021, 2:42:15 AM12/14/21
to
https://video.virgilio.it/guarda-video/log4shell-cose-la-nuova-minaccia-informatica-e-perche-fa-paura_bc6286604033001
Cosa c'è di vero in questo allarme pubblicato su virgilio.it?
Ciao.
Cosa c'è di vero in questo allarme pubblicato su virgilio.it?
Ciao.
rootkit
Dec 14, 2021, 3:45:00 AM12/14/21
to
On Tue, 14 Dec 2021 08:42:13 +0100, Esu wrote:
> https://video.virgilio.it/guarda-video/log4shell-cose-la-nuova-minaccia-
è una vulnerabilità che è stata scoperta su una libreria molto comune
nelle applicazioni java e che è stata giustamente classificata a severity
massima. ma quello che c'è scritto in quell'articolo e in altri di
testate non specializzate è solo una montagna di puttanate. l'impatto è
in particolare su chi manutiene applicazioni server java, la fix è già
disponibile così come il workaround entrambi facilmente applicabili,
inoltre il rischio reale (non potenziale) è circoscritto a determinate
condizioni. l'utente comune non ha motivo di agitarsi non c'è nessuna
apocalisse alle porte.
> https://video.virgilio.it/guarda-video/log4shell-cose-la-nuova-minaccia-
informatica-e-perche-fa-paura_bc6286604033001
>
> Cosa c'è di vero in questo allarme pubblicato su virgilio.it?
> Ciao.
di vero in un articolo di virgilio.it non c'è mai nulla.
>
> Cosa c'è di vero in questo allarme pubblicato su virgilio.it?
> Ciao.
è una vulnerabilità che è stata scoperta su una libreria molto comune
nelle applicazioni java e che è stata giustamente classificata a severity
massima. ma quello che c'è scritto in quell'articolo e in altri di
testate non specializzate è solo una montagna di puttanate. l'impatto è
in particolare su chi manutiene applicazioni server java, la fix è già
disponibile così come il workaround entrambi facilmente applicabili,
inoltre il rischio reale (non potenziale) è circoscritto a determinate
condizioni. l'utente comune non ha motivo di agitarsi non c'è nessuna
apocalisse alle porte.
ObiWan
Dec 14, 2021, 6:33:58 AM12/14/21
to
:: On Tue, 14 Dec 2021 08:44:57 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <sp9li8$jsl$1...@dont-email.me>
Concordo, per quanto riguarda lo 0-Day, qui ci sono links e dettagli
https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
senza troppi sensazionalismi :)
:: (it.comp.sicurezza.varie)
:: <sp9li8$jsl$1...@dont-email.me>
Concordo, per quanto riguarda lo 0-Day, qui ci sono links e dettagli
https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
senza troppi sensazionalismi :)
ObiWan
Dec 14, 2021, 6:39:18 AM12/14/21
to
> Concordo, per quanto riguarda lo 0-Day, qui ci sono links e dettagli
>
> https://arstechnica.com/information-technology/2021/12/minecraft-and-other-apps-face-serious-threat-from-new-code-execution-bug/
>
> https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html
https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/
rootkit
Dec 14, 2021, 2:15:32 PM12/14/21
to
facilità con cui può essere sfruttata. ma il punto è che la versione di
log4j interessata, la 2.x, non è poi così diffusa come lasciano ad
intendere. log4j è usatissimo ma quasi esclusivamente nella versione 1.x.
io stesso su decine e decine di progetti non ho dovuto toccare nulla.
certo oh, per gli addetti ai lavori uno 0-day del genere è un gran bel
casotto, ma questo storytelling è abbastanza fuori luogo imho.
ObiWan
Dec 15, 2021, 4:14:59 AM12/15/21
to
:: On Tue, 14 Dec 2021 19:15:29 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <spaqgh$viu$1...@dont-email.me>
> certo oh, per gli addetti ai lavori uno 0-day del genere è un gran
> bel casotto, ma questo storytelling è abbastanza fuori luogo imho.
Confermo !
:: (it.comp.sicurezza.varie)
:: <spaqgh$viu$1...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> si la vulnerabilità è sicuramente molto critica per la disarmante
> facilità con cui può essere sfruttata. ma il punto è che la versione
> di log4j interessata, la 2.x, non è poi così diffusa come lasciano ad
> intendere. log4j è usatissimo ma quasi esclusivamente nella versione
> 1.x. io stesso su decine e decine di progetti non ho dovuto toccare
> nulla.
Beh... alcune piattaforme usano la 2.x ed in quel caso sono dolori :P
> si la vulnerabilità è sicuramente molto critica per la disarmante
> facilità con cui può essere sfruttata. ma il punto è che la versione
> di log4j interessata, la 2.x, non è poi così diffusa come lasciano ad
> intendere. log4j è usatissimo ma quasi esclusivamente nella versione
> 1.x. io stesso su decine e decine di progetti non ho dovuto toccare
> nulla.
> certo oh, per gli addetti ai lavori uno 0-day del genere è un gran
> bel casotto, ma questo storytelling è abbastanza fuori luogo imho.
Esu
Dec 16, 2021, 1:53:13 AM12/16/21
to
resteranno) in giro con questa vulnerabilità... Come fai ad aggiornare
qualcosa che non è più supportato ma ti serve (probabilmente non sai
nemmeno che abbia questo bug).
Non sarà catastrofico ma comunque resta una falla "non da niente", giusto?
Questo tipo di problema dovrebbe far riflettere i produttori di hw a
livello globale.
ArchiPit
Dec 16, 2021, 2:22:38 AM12/16/21
to
Rispondo qui sotto a ObiWan
Anche io credo che non sarà una apocalisse, comunque ho appena
verificato che quel file log4j*.bin è facile sia presente anche nei pc,
dato che i sw di Sogei per pagare iva e tasse utilizzano java.
Penso ai commercialisti...
Ma anche ai privati: io ho quel file nei backup dei mesi scorsi avendo
utilizzato uno di quei sw, mentre ovviamente non c'è nel pc che ha un
win10 reinstallato da zero 10-15gg fa senza ava.
Info qui
https://edge9.hwupgrade.it/news/security/i-consigli-di-kaspersky-per-affrontare-la-vulnerabilita-log4shell_103237.html
e qui per il fix
https://www.apache.org/dyn/closer.lua/logging/log4j/2.16.0/apache-log4j-2.16.0-bin.zip
verificato che quel file log4j*.bin è facile sia presente anche nei pc,
dato che i sw di Sogei per pagare iva e tasse utilizzano java.
Penso ai commercialisti...
Ma anche ai privati: io ho quel file nei backup dei mesi scorsi avendo
utilizzato uno di quei sw, mentre ovviamente non c'è nel pc che ha un
win10 reinstallato da zero 10-15gg fa senza ava.
Info qui
https://edge9.hwupgrade.it/news/security/i-consigli-di-kaspersky-per-affrontare-la-vulnerabilita-log4shell_103237.html
e qui per il fix
https://www.apache.org/dyn/closer.lua/logging/log4j/2.16.0/apache-log4j-2.16.0-bin.zip
ObiWan
Dec 16, 2021, 9:56:18 AM12/16/21
to
:: On Thu, 16 Dec 2021 08:22:33 +0100
:: (it.comp.sicurezza.varie)
:: <mn.81f67e5ca4...@LeTreDiNotteVirgilio.it>
modulo sia installato su un server web esposto su internet, in quel
caso, sfruttando la vulnerabilità sarebbe possibile ottenere una shell
sul server, ma nel caso di un SW desktop il problema non si pone
:: (it.comp.sicurezza.varie)
:: <mn.81f67e5ca4...@LeTreDiNotteVirgilio.it>
:: ArchiPit <Bruram48C...@LeTreDiNotteVirgilio.it> wrote:
> Anche io credo che non sarà una apocalisse, comunque ho appena
> verificato che quel file log4j*.bin è facile sia presente anche nei
> pc, dato che i sw di Sogei per pagare iva e tasse utilizzano java.
Il che non implica che il file sia un problema, lo è nel caso in cui il
> Anche io credo che non sarà una apocalisse, comunque ho appena
> verificato che quel file log4j*.bin è facile sia presente anche nei
> pc, dato che i sw di Sogei per pagare iva e tasse utilizzano java.
modulo sia installato su un server web esposto su internet, in quel
caso, sfruttando la vulnerabilità sarebbe possibile ottenere una shell
sul server, ma nel caso di un SW desktop il problema non si pone
ArchiPit
Dec 16, 2021, 10:21:26 AM12/16/21
to
Rispondo qui sotto a ObiWan
> Il che non implica che il file sia un problema, lo è nel caso in cui il
> modulo sia installato su un server web esposto su internet, in quel
> caso, sfruttando la vulnerabilità sarebbe possibile ottenere una shell
> sul server, ma nel caso di un SW desktop il problema non si pone
Sicuramente è così, ma perchè quel file è presente come plugin del sw
> modulo sia installato su un server web esposto su internet, in quel
> caso, sfruttando la vulnerabilità sarebbe possibile ottenere una shell
> sul server, ma nel caso di un SW desktop il problema non si pone
java dell'Agenzia delle entrate adatto a girare sui pc?
Non può quel file essere usato dall'agenzia delle entrate proprio per
avere un log degli errori e delle azioni svolte dal pc nel momento in
cui è connesso (cioè esposto su internet) ai loro server?
Su questi temi sono assolutamente ignoranete!
rootkit
Dec 16, 2021, 10:30:46 AM12/16/21
to
On Thu, 16 Dec 2021 08:22:33 +0100, ArchiPit wrote:
> Anche io credo che non sarà una apocalisse, comunque ho appena
> verificato che quel file log4j*.bin è facile sia presente anche nei pc,
> dato che i sw di Sogei per pagare iva e tasse utilizzano java.
dovrebbe essere un *.jar, non un *.bin.
> Anche io credo che non sarà una apocalisse, comunque ho appena
> verificato che quel file log4j*.bin è facile sia presente anche nei pc,
> dato che i sw di Sogei per pagare iva e tasse utilizzano java.
inoltre è la versione 2 ad essere affetta. la versione la vedi spesso nel
nome del file, ma più esattamente nel manifest del jar.
inoltre non è detto che sia un jar separato, dipende da come è
distribuita l'applicazione.
realisticamente poi bisogna vedere se e come è exploitabile. una
applicazione web lo è certamente, così come una applicazione server. una
applicazione client è molto meno scontato. perché se per far partire
l'exploit l'attaccante deve modificare il programma allora a quel punto
vale tutto; a quel punto non ha bisogno di passare dal log4j per fare un
jndi lookup e eseguire codice arbitrario, modifica il codice può farlo
direttamente, come può ovviamente fare cose molto più gravi.
beninteso, non è assolutamente una falla da poco, anzi, è enorme. ma la
sua pericolosità è quando *dall'esterno* si può iniettare il codicillo
che, dato in pasto al log4j, produce l'exploit. questo in una
applicazione web può essere verissimo e di una semplicità disarmante, per
una applicazione desktop non altrettanto.
ArchiPit
Dec 16, 2021, 10:47:15 AM12/16/21
to
Rispondo qui sotto a rootkit
> On Thu, 16 Dec 2021 08:22:33 +0100, ArchiPit wrote:
>
>
>> Anche io credo che non sarà una apocalisse, comunque ho appena
>> verificato che quel file log4j*.bin è facile sia presente anche nei pc,
>> dato che i sw di Sogei per pagare iva e tasse utilizzano java.
>
> dovrebbe essere un *.jar, non un *.bin.
Infatti ho sbagliato io, il file è .jar e precisamente è un
log4j-1.2.14.jar
> inoltre è la versione 2 ad essere affetta. la versione la vedi spesso nel
> nome del file, ma più esattamente nel manifest del jar.
Ok, fuori pericolo ipotetico, la versione che avevo era una 1.2
> inoltre non è detto che sia un jar separato, dipende da come è
> distribuita l'applicazione.
>
> realisticamente poi bisogna vedere se e come è exploitabile. una
> applicazione web lo è certamente, così come una applicazione server. una
> applicazione client è molto meno scontato. perché se per far partire
> l'exploit l'attaccante deve modificare il programma allora a quel punto
> vale tutto; a quel punto non ha bisogno di passare dal log4j per fare un
> jndi lookup e eseguire codice arbitrario, modifica il codice può farlo
> direttamente, come può ovviamente fare cose molto più gravi.
>
> beninteso, non è assolutamente una falla da poco, anzi, è enorme. ma la
> sua pericolosità è quando *dall'esterno* si può iniettare il codicillo
> che, dato in pasto al log4j, produce l'exploit. questo in una
> applicazione web può essere verissimo e di una semplicità disarmante, per
> una applicazione desktop non altrettanto.
Grazie, sei stato chiarissimo.
> On Thu, 16 Dec 2021 08:22:33 +0100, ArchiPit wrote:
>
>
>> Anche io credo che non sarà una apocalisse, comunque ho appena
>> verificato che quel file log4j*.bin è facile sia presente anche nei pc,
>> dato che i sw di Sogei per pagare iva e tasse utilizzano java.
>
> dovrebbe essere un *.jar, non un *.bin.
log4j-1.2.14.jar
> inoltre è la versione 2 ad essere affetta. la versione la vedi spesso nel
> nome del file, ma più esattamente nel manifest del jar.
> inoltre non è detto che sia un jar separato, dipende da come è
> distribuita l'applicazione.
>
> realisticamente poi bisogna vedere se e come è exploitabile. una
> applicazione web lo è certamente, così come una applicazione server. una
> applicazione client è molto meno scontato. perché se per far partire
> l'exploit l'attaccante deve modificare il programma allora a quel punto
> vale tutto; a quel punto non ha bisogno di passare dal log4j per fare un
> jndi lookup e eseguire codice arbitrario, modifica il codice può farlo
> direttamente, come può ovviamente fare cose molto più gravi.
>
> beninteso, non è assolutamente una falla da poco, anzi, è enorme. ma la
> sua pericolosità è quando *dall'esterno* si può iniettare il codicillo
> che, dato in pasto al log4j, produce l'exploit. questo in una
> applicazione web può essere verissimo e di una semplicità disarmante, per
> una applicazione desktop non altrettanto.
ObiWan
Dec 16, 2021, 10:51:46 AM12/16/21
to
:: On Thu, 16 Dec 2021 16:21:24 +0100
:: (it.comp.sicurezza.varie)
:: <mn.83d57e5cbc...@LeTreDiNotteVirgilio.it>
CLIENT che si connette ad un SERVER, è il server che è esposto, non il
client :) e, per quanto riguarda quale uso faccia il client del modulo
di logging, lo ignoro, potrebbe essere usato per il logging locale o
magari non essere usato per niente ed essere stato incluso solo per
disattenzione, ma in entrambi i casi, non credo rappresenti un problema
come credo abbia chiaramente spiegato "rootkit"
:: (it.comp.sicurezza.varie)
:: <mn.83d57e5cbc...@LeTreDiNotteVirgilio.it>
:: ArchiPit <Bruram48C...@LeTreDiNotteVirgilio.it> wrote:
> Non può quel file essere usato dall'agenzia delle entrate proprio per
> avere un log degli errori e delle azioni svolte dal pc nel momento in
> cui è connesso (cioè esposto su internet) ai loro server?
Credo che "rootkit" abbia già chiarito la cosa; ad ogni modo tu hai un
> Non può quel file essere usato dall'agenzia delle entrate proprio per
> avere un log degli errori e delle azioni svolte dal pc nel momento in
> cui è connesso (cioè esposto su internet) ai loro server?
CLIENT che si connette ad un SERVER, è il server che è esposto, non il
client :) e, per quanto riguarda quale uso faccia il client del modulo
di logging, lo ignoro, potrebbe essere usato per il logging locale o
magari non essere usato per niente ed essere stato incluso solo per
disattenzione, ma in entrambi i casi, non credo rappresenti un problema
come credo abbia chiaramente spiegato "rootkit"
ObiWan
Dec 16, 2021, 10:54:02 AM12/16/21
to
:: On Thu, 16 Dec 2021 07:53:10 +0100
:: (it.comp.sicurezza.varie)
:: <spenon$1nr2$1...@gioia.aioe.org>
ma... no, il vero problema è un altro, ma preferisco non parlarne per
il momento, dato che è totalmente ipotetico
:: (it.comp.sicurezza.varie)
:: <spenon$1nr2$1...@gioia.aioe.org>
:: Esu <e...@kfj.vva> wrote:
> Ma chissà quanti device con firmware non aggiornabile ci saranno (e
> resteranno) in giro con questa vulnerabilità...
Device con un (web)server esposto su internet ? Non dico non ci siano,
> Ma chissà quanti device con firmware non aggiornabile ci saranno (e
> resteranno) in giro con questa vulnerabilità...
ma... no, il vero problema è un altro, ma preferisco non parlarne per
il momento, dato che è totalmente ipotetico
ArchiPit
Dec 16, 2021, 10:59:41 AM12/16/21
to
Rispondo qui sotto a ObiWan
l'aggiunta di rootkit ha eliminato le mie residue curiosità.
rootkit
Dec 16, 2021, 11:08:24 AM12/16/21
to
On Thu, 16 Dec 2021 16:47:13 +0100, ArchiPit wrote:
>> dovrebbe essere un *.jar, non un *.bin.
>
> Infatti ho sbagliato io, il file è .jar e precisamente è un
> log4j-1.2.14.jar
perfetto, non è interessata dalla vulnerabilità.
>> dovrebbe essere un *.jar, non un *.bin.
>
> Infatti ho sbagliato io, il file è .jar e precisamente è un
> log4j-1.2.14.jar
come dicevo la 1.x è quella largamente e storicamente più diffusa. pochi
sono passati alla 2.x quando la 1.x è stata deprecata, e i progetti
greenfield on prevalenza sono andati su altre librerie.
Esu
Dec 18, 2021, 6:10:24 AM12/18/21
to
Gabriele - onenet
Dec 20, 2021, 6:08:29 AM12/20/21
to
o qualche bella telecamerina, così ricominciamo coi DDoS mondiali.
ObiWan
Dec 20, 2021, 6:35:28 AM12/20/21
to
:: On Mon, 20 Dec 2021 11:08:27 GMT
:: (it.comp.sicurezza.varie)
:: <LuZvJ.1132822$AkN1....@usenetxs.com>
https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild
https://isc.sans.edu/forums/diary/RCE+in+log4j+Log4Shell+or+how+things+can+get+bad+quickly/28120/
:: (it.comp.sicurezza.varie)
:: <LuZvJ.1132822$AkN1....@usenetxs.com>
:: Gabriele - onenet <inf...@onenet.it> wrote:
> > Device con un (web)server esposto su internet ? Non dico non ci
> > siano, ma... no, il vero problema è un altro, ma preferisco non
> > parlarne per il momento, dato che è totalmente ipotetico
> tipo router e firewall, così a naso
> o qualche bella telecamerina, così ricominciamo coi DDoS mondiali.
già :(
> > Device con un (web)server esposto su internet ? Non dico non ci
> > siano, ma... no, il vero problema è un altro, ma preferisco non
> > parlarne per il momento, dato che è totalmente ipotetico
> tipo router e firewall, così a naso
> o qualche bella telecamerina, così ricominciamo coi DDoS mondiali.
https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild
https://isc.sans.edu/forums/diary/RCE+in+log4j+Log4Shell+or+how+things+can+get+bad+quickly/28120/
0 new messages