תגובות לפוסט: המקרה של log4j2 ומה שהוא יכול ללמד אותנו https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/ רן בר-זיק על פיתוח אינטרנט מתקדם Fri, 17 Dec 2021 11:36:30 +0000 hourly 1 https://wordpress.org/?v=6.9.4 מאת: רועי https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3797 Fri, 17 Dec 2021 11:36:30 +0000 https://internet-israel.com/?p=9757#comment-3797 ניצול החולשה מאד מזכיר לי את ה shellshock מ 2015. אז תוכנות שונות וביניהן apache httpd השתמשו ב bash בזמן כתיבת לוג.

גם כאן – הגורם היסודי לפגיעות הוא ביצוע עיבוד על קלט לא מאובטח.

בעיניי ספריה לרישום לוגים אמורה לרשום לוגים ולא לנתח אותם, בוודאי לא באמצעות תשתית שרתים שלא הוגדרה מפורשות.

]]> מאת: yisrael https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3796 Wed, 15 Dec 2021 15:56:04 +0000 https://internet-israel.com/?p=9757#comment-3796 בגיטהאב אני רואה שיש 140 תורמים לפרוייקט + 1.1K forks + מעל 11K commits
לא נראה פרוייקט שנזנח.
טעויות יש בכל מקום גם בחברות שמשלמים למתכנתים במשרה מלאה
פשוט לרוב הטעויות משפיעות רק על מוצרים של חברה אחת ולא על כל התעשייה.
אבל זה דברים שלא היו עוברים בקוד פתוח, וגם אם כן היו מתוקנים מיד ולא היה לוקח כמה ימים או חודשים לקבל את התיקון נמצא רק בידיים של חברה מסחרית כל שהיא
למשל
CVE-2021-40119 של סיסקו
PrintNightmare ו Exchange Server של מייקרוסופט
ועוד הרבה פרצות שדווחו בשקט או נמצאו ע"י החברות בעצמם ותוקנו בשקט
או שהם בשימוש ע"י NSO בלי דיווח

]]> מאת: גרג https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3791 Sun, 12 Dec 2021 23:38:39 +0000 https://internet-israel.com/?p=9757#comment-3791 בתגובה על ליאור.

במילים פשוטות, בהסתמך על חתימות של חולשות אבטחה, waf יחסום בקשות http המכילות את הטקסט המסוכן.
כיום Firewall NextGen, מכילים פונציונאליות של IPS – Intrusion Prevention System, גם הוא פועל על קונספט של חתימות שמתעדכנות כל הזמן ומאפשר לחסום ברמת ה- firewall התקפות בפרוטוקולים שןנים.

כמה מילים ספציפית על waf שהוא web application firewall – כלומר הוא יש לו יכולת להפעיל לוגיקה לחסיה או העברה של בקשות ספציפיות ברמת הפרוטוקול האפליקטיבי (במקרה הזה http). לדוגמא, ל- WAF מתוצרת חברת F5 יש אפשרות לחסום בקשות מסוכנות על פי מה שנקרא חתימות של חולשות ידועות. החתימות הן חלק מבסיס נתונים שמתעדכן כל הזמן. וגם במקרה של החולשה הזו עודכנו החתימות הרלוונטיות. ניתן לקרוא יותר לעומק:

https://support.f5.com/csp/article/K19026212

במקרה של FortiNet אשר מייצרים NextGen Firewall – הבסיס נתונים התעדכן וכבר עכשיו ניתן להגדיר חסימה של החולשה ברמת ה- firewall, כמובן דורש רישוי מתאים.

]]> מאת: ליאור https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3790 Sun, 12 Dec 2021 21:09:20 +0000 https://internet-israel.com/?p=9757#comment-3790 עם כל ה��פשרויות של שינויים בתקיפה, עדיין לא ברור לי איך אפשר להגן כנגד התקיפה הזו בפיירוול או ב waf. אתה יכול בבקשה להסביר את זה? או שמדובר רק בפלסטרים שלא באמת מגנים מתקיפה ממוקדת שלא משתמשת בקוד המפורסם אלא משנה בו משהו כדי שלא ייתפס החתימות.

]]> מאת: אני https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3789 Sun, 12 Dec 2021 13:25:13 +0000 https://internet-israel.com/?p=9757#comment-3789 אפשר מקור כלשהו לכך שהחולשה משפיעה על ספארק?
בתור מפתח ספארק וידאתי עוד פעם את מה שידעתי – ספארק משתמשים ב log4j 1.2 ולא ב log4j2, לכן זה לא משפיע עליהם…

]]> מאת: איתי ממן https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3788 Sun, 12 Dec 2021 09:41:36 +0000 https://internet-israel.com/?p=9757#comment-3788 החלק המשמעותי בפרצה הוא שרכיב ה JNDI בשרת המותקף יריץ את הקוד שחוזר מהכתובת שהתוקף הצליח להכניס לתוך המחרוזת שהועברה אל log4j.

אבל, החל מגרסה 8u121 של ג׳אווה, רכיב ה JNDI לא מריץ את הקוד שחוזר מהכתובת הנ״ל, אלא אם מישהו שינה בצורה מפורשת את ההגדרות של:

com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase

ל- true. אצל הרבה מאד שרתים אף אחד לא נגע בהגדרות הללו, ככה שברירת המחדל (החל מהגרסה הנ״ל) לא תאפשר לקוד חיצוני לרוץ.

פרטים נוספים:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://www.oracle.com/java/technologies/javase/8u121-relnotes.html (צריך לחפש את Improved (protection for JNDI remote class loading

]]> מאת: Yossi https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3787 Sun, 12 Dec 2021 09:28:30 +0000 https://internet-israel.com/?p=9757#comment-3787 כדאי להבהיר שלא כל אחד שמריץ שרת אפאצ'י חשוף לחולשה זו, רק מי שמריץ קוד JAVA שמשתמש בספריית log4j. ראיתי המון הייפ ברשת שאסור להריץ שרת אפאצ'י. אין קשר בין שרת ה-HTTP שלהם לספריית הלוגים עבור JAVA.

]]> מאת: ik5 https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3786 Sun, 12 Dec 2021 07:32:39 +0000 https://internet-israel.com/?p=9757#comment-3786 זה לא כמות המפתחים.
גם מפתח בודד שמסור לדברים הוא מישהו חשוב כמו חברה שלמה.

הקטע הוא שמשתמשים בקוד פתוח כמשהו חינמי שמקצר הליכים, אבל באים בטעות כאשר יש בעיות כלשהן, במקום לתרום חזרה ולתקן אותן.

עצם זה שספריה כזו כן עוברת המון ידיים ועיניים ועדיין אנחנו רואים שיש בעיות בהן מראות שלא תמיד כמות האנשים היא החשובה אלא היכולת לקבל פידבק טוב חשוב מאוד.

]]> מאת: יוסי יערי https://internet-israel.com/%d7%a8%d7%a9%d7%aa-%d7%94%d7%90%d7%99%d7%a0%d7%98%d7%a8%d7%a0%d7%98/%d7%94%d7%9e%d7%a7%d7%a8%d7%94-%d7%a9%d7%9c-log4j2-%d7%95%d7%9e%d7%94-%d7%a9%d7%94%d7%95%d7%90-%d7%99%d7%9b%d7%95%d7%9c-%d7%9c%d7%9c%d7%9e%d7%93-%d7%90%d7%95%d7%aa%d7%a0%d7%95/comment-page-1/#comment-3784 Sun, 12 Dec 2021 07:02:47 +0000 https://internet-israel.com/?p=9757#comment-3784 לגבי רמת תחזוק של קוד פתוח
הקוד הזה ותיק. עבר המון שימוש
למה שנחשוב שאילו היה מתוחזק בידי קבוצה רצינית יותר, באג מהסוג הזה היה נמצא ומתוקן בתהליך הפיתוח?

]]>