log4j — уязвимость на сервисах AWS, Cloudflare, iCloud, Minecraft, Steam

Раздался звон пустых бутылок, и вылез из огромной горы стеклотары…

А выводил бы логи через System.out.println(), сейчас был бы жив.

Очередная попытка дискредитировать FOSS.

Главное, что выводов никто не сделает и ничего не поменяется.

Историю с openssl-Heartbleed уже все забыли, хотя тогда было много разговоров о том, что нужно спонсировать и профессионально развивать важнейшие OSS-библиотеки.

Поделом.

because we do not use any Java

sounds good

https://habr.com/en/company/mvideo/blog/599689/

Много общих слов и всепропальщества, но ни конкретных примеров эксплуатации уязвимости, ни действий спонсоров поста по исправлению положения.

А новость — месячный баян.

А новость — месячный баян.

По ссылке так и написано, ты почитай.

Криокамера протекла?

log4j — история о том, как кто-то забесплатно пилил что-то крайне нужное всему миру, а корпорации не то что не заплатили ему, так ещё и ни разу не проводили аудит.

корпорации не то что не заплатили ему, так ещё и ни разу не проводили аудит.

Можно подумать, что если б заплатили, то что-то бы изменилось.

Он где-то писал, что опенсорс у него — парт-тайм, если б платили, уделял бы больше времени.

а потом, говорят, амазон стал свой глючный код впиндюривать прям в контейнеры прям в работающие приложения, типа для фикса этого бага даже тем кто эту либу не использовал и не просил...

И как это бы помогло не допустить уязвимость? Он же не специально её туда внедрил, а по причине низкой квалификации.

Там, кстати, не один анон эту либу пишет, там несколько контрибьютеров.

По ссылке так и написано, ты почитай.

Там написано, что подводят итоги месяца, но ничего интересного не говорят.

ТС же преподносит это как свежайшую новость. Он неправ. Про это и написал.

Да, это был эпичный обсер.

Вот такое предложение нашлось на просторах реддита https://github.com/openfare/openfare

я не хочу быть опенсорсным разрабом

Use GPL, luke.

но ни конкретных примеров эксплуатации уязвимости

https://www.youtube.com/watch?v=9W_Q_5--4kA

Это дискредитация современного капитализма, а не ФОСС.

И как это бы помогло не допустить уязвимость? Он же не специально её туда внедрил, а по причине низкой квалификации.

Было б время подумать, что так делать не стоит.

И как это бы помогло не допустить уязвимость?

Эту либу пользует каждый первый разраб на джаве, коих под несколько миллионов. Если бы хотя бы каждый скинулся по доллару, то это было бы достаточно, чтобы нанять сторонних специалистов и проводить хоть ежемесячный аудит.

Или это бы создало конкуренцию и мы бы увидели опенсорц либы с более серьезными разработчиками.

В статье, которая претендует на подведение итогов.

Аа, ну это же хабр...

И что тогда можно сказать про человека, который это сюда тянет?

Если бы хотя бы каждый скинулся по доллару, то это было бы достаточно, чтобы нанять сторонних специалистов и проводить хоть ежемесячный аудит.

ОКей, это одна из тысяч опенсорц либ на яве, какие ты будешь аудировать, а какие нет? На каждую скидываться будем?

Или это бы создало конкуренцию и мы бы увидели опенсорц либы с более серьезными разработчиками.

В яве и так полно логгеров на любой вкус. Мы, вот, вообще свой используем, т.к. когда софт начинали писать нормальных логгеров не завезли. Зато сейчас каждый второй логгер умеет звонить по VoIP и проговаривать эксепшоны через TTS-движок.

какие ты будешь аудировать, а какие нет?

Те, которые популярны и у которых есть бюджет на аудирование.

полно логгеров на любой вкус

Без разница сколько их, но если за них конкретный человек не получает деньги, то это всё пет-проекты соответствующего качества.

Как оказалось log4j один из них, хотя я думал что он на бюджете какого-нибудь редхата. И теперь я ещё больше охреневаю от корпораций - их жадности и тупости.

всё пет-проекты соответствующего качества.

Так можно о любом открытом проекте сказать, ибо «AS IS WITHOUT ANY WARRANTY». То, что туда контрибьютят корпорации – не показатель качества.

Криокамера протекла?

Ну да, я чот провтыкал этот тред:

Критическая уязвимость в Log4j позволяет выполнять произвольный код на сервере

ТС же преподносит это как свежайшую новость.

Где? Процитируй.

Главное, что выводов никто не сделает и ничего не поменяется.
Историю с openssl-Heartbleed уже все забыли

Кто не сделал? Я сделал, потому в опенсорсе не участвую, если это не позволяет заработать денег. Второй вывод: в корпорациях сидят те же самые школьники, что и в помойной галере, просто у корпорации больше денег — вот и вся разница. Шанс, что у вас отвалится AWS, намного ниже, чем шанс, что отвалится наколенная поделка Толика, но он по прежнему есть, потому что точно такой же Толик сидит в Амазоне и его глубоко безразлично качество сервиса, на за счет избытка денег Амазон ставит над, под, и между Толиками тестеров, манагеров, аналитиков, и прочих людей, которым тоже безразличен сервис, но вместе они намного уменьшают шанс отказа сервиса.

Опенсорс как алмаз

Весь код напоказ

Миллионы глаз

Проверили не раз

😂

Эту либу пользует каждый первый разраб на джаве, коих под несколько миллионов. Если бы хотя бы каждый скинулся по доллару, то это было бы достаточно, чтобы нанять сторонних специалистов и проводить хоть ежемесячный аудит

Я точно так же думал, когда был молод и глуп. Сейчас я выражаю эту мысль как: «могли бы скинуться по доллару, но этого никогда не произойдет». Блин, даже среди хорошо оплачиваемых спецов в индустрии 95%+ — полные кретины, которые едва ли способны принять решение, а как ты намерен собирать деньги на какую-то либу для логирования? Как объяснить представителю 95% необходимость финансирования разработки?

Я планирую попробовать так https://github.com/openfare/openfare для своей небольшой либы, которая тем не менее может быть настолько же востребована, как какой-нибудь незаметный log4j присутствующий чуть-ли не в каждом проекте.

Решением может стать нормальное финансирование опенсорса с профессиональными мейнтейнерами на зарплате.

В результате у нас systemd повсюду.

опенсорц - это всеобщая уверенность что его наверняка проверили все, кроме тебя

То, что туда контрибьютят корпорации – не показатель качества

Не показатель. Но если ключевые разработчики получают деньги и занимаются проектом фуллтайм, то это несколько повышает его качество. А если у них еще остаётся бюджет на найм незавимых аудиторов, то качество еще немножно подрастает. В отличии от пет-проекта принимающего патчи от корпораций по вечерам или в выходные.

Да никто не будет нанимать аудиторов ради какой-то сраной библиотеки. Всем насрать. Максимум проверят вещи, от которых зависят всякие сертификации: криптоалгоритмы и тд.

З.Ы. Вой по поводу log4j стоит из-за того, что у многих розовые очки были про открытый код: мол, он и качества высокого, и безопаснее, ведь столько глаз его смотрят. А на самом деле окрытый код – самый безответственный код. Ведь за качество с тебя не спросит никто, кроме тебя самого. Ты можешь творить любую дичь и тебе за это ничего не будет, максимум напишут на хабре или другой айтипомойке про то, какой ты идиот. Можешь забросить проект посередине и пропасть на пару лет, не давая никому пофиксить баги, заставляя плодить форки. Можешь продать свой проект алчной конторе, которая напихает в него говна, тем самым предав пользователей. Свобода. И никакой ответственности.

В результате у нас systemd повсюду

Высокопоставленные манагеры в редхате послушали клиентов, потом стукнули кулаком по столу и сказал «нука быстро завязывайте башпортянки, и делайте норм сервисы вместо них». Делали, как обычно, второпях по кратчайшему пути. И не надо мне рассказывать, что есть какие-то фанаты systemd, которые сделали его именно таким, какой он стал - это почти полностью плотная разработка.

Можешь продать свой проект алчной конторе, которая напихает в него говна, тем самым предав пользователей

Будто с проприетарным софтом не происходит то же самое. Более того, там вообще говна пихают прямо с первого релиза.

Да, но там хотя бы есть terms of service и прочие регламенты, которые ты можешь прочитать. А во в каком-нибудь Audacity нихрена нет, кроме открытой лицензии по которой тебе никто ничего не должен, и через какое-то время ты обнаруживаешь, что твоя любимая программа сливает телеметрию в гугл и прочие помойки.

Ты где дискредитацию foss нашёл, родной?

А на самом деле окрытый код – самый безответственный код. Ведь за качество с тебя не спросит никто, кроме тебя самого.

Ты так говоришь, будто за качество закрытого кода кто-то отвечает

Ты где дискредитацию foss нашёл, родной?

Вся статья этим пропитана. В духе: какой-то школьник бесплатно написал и все используют. Закон Линуса не работает и т. д.

Ну на закрытый код хоть кто-то, кроме тебя, смотрит. Есть тестирование, ты лично заинтересован писать качественный код, т.к. от этого твой заработок зависит.

какой-то школьник бесплатно написал и все используют

Писал не школьник? Никто не использует? 😉

В голову!

Ой, ребят, вы бы видели какой закрытый код используется внутри технологических корпораций. Который пишется инженерами за 200к+ «на отстань», забывается, никто, естественно, не аудирует. Или бывает ещё смешнее - прикручивают, например, бота, который сканирует уязвимости (самое простое - open source зависимости проекта, на которые есть найденные известные уязвимости), создаёт merge/pull requests ежедневно, на которые никто не смотрит, они просто игнорируются, так как «не в приоритете - нужно кнопочки делать чтобы денежки зарабатывать».

То, что open source проекты не очень оплачиваются, может, несправедливо и грустно, но даже если за них платить, ситуация не поменяется от слова никак.

А то, что корпорации обмазались уязвимым log4j во все поля и не обнаружили в нём дыр, это проблема именно этих корпораций.

Ну а вообще в более или менее сложном ПО не может не быть уязвимостей и ошибок в принципе - это нормально так периодически находить что-то, присутсвующее с 2013 или с 2003 года, чего никто не видел. Надо просто быстрее исправлять, вот и всё.

Есть тестирование, ты лично заинтересован писать качественный код, т.к. от этого твой заработок зависит.

У меня для вас плохие новости. Инженеры FAANG-а зачастую не заинтересованы писать качественный код, их заработок может зависеть совсем от другого.

https://habrastorage.org/r/w1560/webt/by/do/9r/bydo9ry98yhjt9xxzclcontfb9u.png

Сомневаюсь, что в FAANG работают инженеры, способные писать качественный код. Бинарное дерево повернуть за 45 минут у белой доски, да, а вот код нормальный написать уже нет.

Что-то вспомнилась история, как у оракла нашли пачку уязвимостей с обходом аутентификации и авторизации

Да и вообще не припомню, что бы кто-то понёс какое-то наказание за уязвимости в коде

Уже обсуждалось тут: …

А вот тут обсуждали эпическую дыру в коммерческом вылизанном до дыр iMessage: pegasus или демократия в опасности. Но как-то маловато.

И, соответственно, к итогам прошлого месяца следует добавить: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html.