log4j

[usa_nihaal]

ෂැපද...???​

 

[The Chairman]

Shepai

 

[හෙළයෙක්]

සෙව්නද පරණ ප්‍රොජෙක්ට් එහෙම අප්ඩේට් කරන්න ගිහින්.

 

[Mr UNKNOWN]

සනීපයි

 

[negombokollo]

පැය ගානක් ගියා ගිය සතියෙන්

 

[heenhota]

shika una

 

[Anonymous_Abstract]

hoda deyak. loku companies and projects valata. unge system valata open source use karata 1$ mun donate karanne na. un hithan inna unta owa deyyo hadala dila thiyenna kiyala.

Log4j vitharak nemai log message valata denna ona deval thiyanava nodanna ona deval thiyenava hema deyakma log eka print karanna giyoth log4j2 use karath ochchara thama

 

[Draco Malfoy]

hoda deyak. loku companies and projects valata. unge system valata open source use karata 1$ mun donate karanne na. un hithan inna unta owa deyyo hadala dila thiyenna kiyala.

Log4j vitharak nemai log message valata denna ona deval thiyanava nodanna ona deval thiyenava hema deyakma log eka print karanna giyoth log4j2 use karath ochchara thama

issue eka log4j2 walath thiyenawa neda?

 

[Nisala88]

 

[Anonymous_Abstract]

issue eka log4j2 walath thiyenawa neda?

memai identify karanna lesiyata hema magulama log eka print karoth khomath risk thami ithin

log4j vala unge inbuild function valin hema bambuwama denavane

 

[Draco Malfoy]

memai identify karanna lesiyata hema magulama log eka print karoth khomath risk thami ithin

log4j vala unge inbuild function valin hema bambuwama denavane

me ahuwuna eka ehema log karana widiya or data anuwa ena threat ekak neme neda machan? lo4j framework eka thiyenawanam kochchara efficient widiyata log kalath attack karanna puluwan neda?

ekko oke patch eka install karana eka or wena logger framework ekakata yanawa arenna wena solution ekak na neda?

 

[tharakaf]

ෂැපද...???​

FW, WAF magul update karala custom signatures daala sapa wadi wela tiyenne. Samahara gon hukannala don't even know if or where they use log4j.

 

[Ted Mosby]

springboot වලට effect එකක් නැති නිසා හොදට ගියා.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

 

[Anonymous_Abstract]

me ahuwuna eka ehema log karana widiya or data anuwa ena threat ekak neme neda machan? lo4j framework eka thiyenawanam kochchara efficient widiyata log kalath attack karanna puluwan neda?

ekko oke patch eka install karana eka or wena logger framework ekakata yanawa arenna wena solution ekak na neda?

mama hoyala balapu vidiyata risk ekak thiyena log ekak thiyennema ona. dependency eka vitharak thiyan hitiyata awlak na log nethuwa

---

springboot වලට effect එකක් නැති නිසා හොදට ගියා

kawda kiwwa okatath ekka thiyenna log4j < 2.16 nam
------ Post added on Dec 21, 2021 at 11:54 PM

 

[Ted Mosby]

mama hoyala balapu vidiyata risk ekak thiyena log ekak thiyennema ona. dependency eka vitharak thiyan hitiyata awlak na log nethuwa

---

kawda kiwwa okatath ekka thiyenna
------ Post added on Dec 21, 2021 at 11:54 PM

උන්ගේ documentation එකේ තියෙනවා දාලා
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

manually log4j configure කරොත් ඉතින් තියෙනවා. default logging framework එකේ නැ කියලා තියෙනවා. ගොඩක් use කරලා ටිහ්න්නේ Lombok වල SLF4J එක නිසා කෙස් එකක් නැ. මම JNDI lookup/ env ප්‍රින්ට් එකක් දාලා බැලුවා. අවුලක් නැ. ${env.XXX} එහෙමත් වැඩ කරන්නේ නැ.

ඔව් dependency එක තිබුනට මදි. ලොග් එකක් තියෙන්න ඕනේ. එකේදී user input එකක් append කරලා තියෙන්න ඕනේ

---

hoda deyak. loku companies and projects valata. unge system valata open source use karata 1$ mun donate karanne na. un hithan inna unta owa deyyo hadala dila thiyenna kiyala.

Log4j vitharak nemai log message valata denna ona deval thiyanava nodanna ona deval thiyenava hema deyakma log eka print karanna giyoth log4j2 use karath ochchara thama

මේ issueඑක අහුවෙලා තිබ්බේ alibaba security team එකට නේද ?
------ Post added on Dec 22, 2021 at 12:02 AM

 

[Anonymous_Abstract]

උන්ගේ documentation එකේ තියෙනවා දාලා
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

manually log4j configure කරොත් ඉතින් තියෙනවා. default logging framework එකේ නැ කියලා තියෙනවා. ගොඩක් use කරලා ටිහ්න්නේ Lombok වල SLF4J එක නිසා කෙස් එකක් නැ. මම JNDI lookup/ env ප්‍රින්ට් එකක් දාලා බැලුවා. අවුලක් නැ. ${env.XXX} එහෙමත් වැඩ කරන්නේ නැ.

ඔව් dependency එක තිබුනට මදි. ලොග් එකක් තියෙන්න ඕනේ. එකේදී user input එකක් append කරලා තියෙන්න ඕනේ

oya article eka log4j2 2.17 oka risk eka adui

spring boot vala env ganne DI ekak vidiyata na @Value or @ConfigurationProperties valin ithin khomath log karana eka hariyata handle karanna ona

 

[hodakolla]

BUMPER

 

[හෙළයෙක්]

springboot වලට effect එකක් නැති නිසා හොදට ගියා.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

ජාව ප්‍රොජ්ක්ට් එකක් නන් ඕක නොගෑවිච්ච ප්‍රොජෙක්ට් එකක් එන්ටප්‍රයිස් ලෙවල් එකේ තියෙන්නෙ අමාරුයි.

 

[ShadowSeeker]

ජාව ප්‍රොජ්ක්ට් එකක් නන් ඕක නොගෑවිච්ච ප්‍රොජෙක්ට් එකක් එන්ටප්‍රයිස් ලෙවල් එකේ තියෙන්නෙ අමාරුයි.

Ow ban. Internal dependency ekak vidiyata hari thiyenava

 

[Draco Malfoy]

simple widiyata supiriyatama explain karanawa issue & solutions