Ciao Giacomo, Giacomo Tesio <giacomo@tesio.it> writes: [...]
non capisco dove c'è scritto che la variabile recuperata via JNDI viene usata per scaricare un payload (una classe Java?) che poi viene eseguito dal processo che lo scarica.
No, Giovanni, non c'è scritto
OK grazie, questa è l'ennesima cosa /grave/, considerato che - dalle parole di Volkan Yazıcı che tu hai riportato nel precedente messaggio quella è una «feature we all dislike yet needed to keep»: in una documentazione seria io mi aspetterei un avviso grande come una casa del tipo "lasciate ogni speranza o voi che usate questa feature". Anche la documentazione è parte integrante del software, solo che è quella che costa di più quindi mediamente fa schifo. Nel risk management uno dei modi di ridurre il rischio è documentarlo :-O [...]
A dire il vero, nel 2015 [1] [2] questa classe di bachi - intendo dire vulnerabilità dovute alla deserializzazione - era stata evidenziata da due professionisti
Le due cose non sono mutualmente esclusive: il fatto che problema delle implementazioni della JNDI fosse noto, non implica che qualcuno abbia letto la documentazione di log4j, notato che che venivano usate nell'espansione dei pattern prima di scrivere i log e fatto due più due.
Quello che mi pare evidente è che in molti avrebbero potuto fare due più due /en plein air/ ma una parte ha deciso che non li riguardava e l'altra ha deciso di usarla a proprio vantaggio per bucare altri sistemi. ...solo che la gara a chi è /er più/ è decisamente perdente per tutti, anche per quelli che si illudono di essere /er mejo dei più/ convinti di riuscire a non essere "bucati", ormai di casi se ne contano a decine. Ci vorrebbe una moratoria internazionale :-D [...]
I professionisti cercano di raggiungere backup ed archivi dei clienti in modo da installarvi subito backdoor difficilmente individuabili e che verranno ripristinate anche in caso di ricostruzione complessiva del software del datacenter a partire dai sorgenti (cosa che tanto nessuno farà davvero).
Già, altro tema decisamente ignorato dal giorno dopo la lezione al Turing Award «Reflections on Trusting Trust» di Ken Thompson, era il 1984. [...] Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.