David: "No les voy a enseñar cómo se hace porque no quiero perder el canal" Also David: "Estos son algunos de los comandos que pueden usar para atacar" Buen video!
no es lo mismo un video usando drogas a un video mostrando como se fabrican. no es lo mismo un video mostrando un muerto a un video asesinando. ahi esta la diferencia v:
No entiendo como no había encontrado este increíble canal antes. Excelente material.
2 ปีที่แล้ว +1
Creo que ud es el primero que explica bien esto, nadie quiere explicarlo creo que por las razones que ud bien explica, pero es importante saber qué pasa para poder encontrarlo y arreglarlo
el mejor video, es breve, claro y muy bien explicado, muchas gracias, ... hay mas videos pero de lo que duran menos de 10 minutos, usted ha creado el mejor y explica excelente, gracias
Si, es el terror de la semana esto que se comenta. Ahora bien, hay mucha gente por ahí pensando que todo lo que diga log4j está vulnerable. Hay muchos que no entienden que en sus proyectos no se usa directamente log4j sino que se usa log4j-api para puentear la implementación usando otros frameworks que usan sl4j.
Muy buena información, y bien explicado. Para evitar la censura que menciona, y para poder expresar mejor sus contenidos puede subir videos en odysee, (ahí no son tan estrictos). Saludos, gracias.
inge gracias por la explicación, pero si es una vulnerabilidad porque no se parcho desde hace tiempos y creo que una pregunta mas interesante, porque se hizo un boom reciente en los ultimos meses
Fantástico lo que enseñas! Deberías de tener videos en otra aplicación como twitch para mostrar la práctica! Serias genial! Excelente tu contenido! Siempre viendo todos tus videos!
No me quedó claro que papel juega el log4j en el segundo caso. La acción del servidor de intentar generar un registro, vía Log4j, en el archivo de log, provoca que se ejecute el comando que se está recibiendo?
Es terrible la vulnerabilidad, en practicamente TODAS las aplicaciones spring boot con las que he trabajado usan log4j. Se viene un strike masivo de ransomwares a los equipos incautos. Apache ya liberó un fix, a mantenerse a salvo. Son tiempos inquietantes...
Me siembra una duda como detectaron esta vulnerabilidad fue por nuevos endsyos de pentesting o como supieron que bay ciberdelincuentes explotando esta vulnerabilidad por el log?
Solo hay que crear un software que haga la misma función de Log4j. Pero que se identifique el code de acceso y dar otros protocolos diferente y con mas seguridad 🙏.
Profesor buenos Días Muy Buena información Gracias por Tan Excelente información Me gustaría que si se pudiera en el próximo Video Me Nombraras Mi Nombre Es Juan Pablo Franco Lozada un saludo Especial.
profesor pero por que nombras "Mozilla" acaso esta vulneravilidad solo afecta a los usuarios de firefox o no importa el navegador y afecta a cualquier novegador.
es que se lo comento por que en ocaciones hace ya un tiempo como 5 semanas recivi por parte de cromer el mensaje de " invalid user agent ver1.x.x.x" o halgo asi, la verdad no recuerdo vien pero me paso como 3 o 4 veces ya, y noto que es cuando trabajo en los estudios con el VScode y lo visualizo con el "Live server"
esto ya depende mucho de la ética de la persona que tiene los conocimientos sobre estas cosas, fácilmente podrías estafar a alguien sin que se diera cuenta
Muy interesante el video, para revisar mis servidores use el siguiente script "for line in $(find / -name \*.jar 2>&1 | grep log4j) do echo "DEBUG:potential log4j candidate on $line" done" Pero no me dijo muy conforme, alguien conoce otro método?
David: "No les voy a enseñar cómo se hace porque no quiero perder el canal"
Also David: "Estos son algunos de los comandos que pueden usar para atacar"
Buen video!
jajajaj es verdad tambien me dí cuenta de eso jajaj y estoy fumando hierva -.-
@@universoprogramado9516 tené cuidado hay hierbas que son malas
no es lo mismo un video usando drogas a un video mostrando como se fabrican.
no es lo mismo un video mostrando un muerto
a un video asesinando.
ahi esta la diferencia v:
@@universoprogramado9516 yo tambien estoy fumando hierba y entiendo la diferencia entre usar y enseñar a usar.
Saludos gente yo despertando en este gran lunes
Excelente como siempre David....
No entiendo como no había encontrado este increíble canal antes. Excelente material.
Creo que ud es el primero que explica bien esto, nadie quiere explicarlo creo que por las razones que ud bien explica, pero es importante saber qué pasa para poder encontrarlo y arreglarlo
Gracias por tus videos aprendo mucho
Buena explicación, primera vez que lo veo. Eso sí, odio ese sonido que hace con la boca cada vez que termina una frase 😖
Muchas gracias por la explicación, hay basta info en inglés y poco en español y muchos menos tan detallado. Gracias
Vasta de vastedad o basta de detente?
el mejor video, es breve, claro y muy bien explicado, muchas gracias, ... hay mas videos pero de lo que duran menos de 10 minutos, usted ha creado el mejor y explica excelente, gracias
Si, es el terror de la semana esto que se comenta. Ahora bien, hay mucha gente por ahí pensando que todo lo que diga log4j está vulnerable.
Hay muchos que no entienden que en sus proyectos no se usa directamente log4j sino que se usa log4j-api para puentear la implementación usando otros frameworks que usan sl4j.
Excelente video, corto, conciso y claro.
Buenísima y clara explicación de este código malicioso.
Saludos, Víctor.
Bendito sea el momento en el que llegué a este canal, excelente video igual que los otros
Gracias por todos los videos, por este y por todos los que subis. Es enorme el aporte que estas haciendo. Gracias
Muy buena información, y bien explicado. Para evitar la censura que menciona, y para poder expresar mejor sus contenidos puede subir videos en odysee, (ahí no son tan estrictos). Saludos, gracias.
Grande Profee!! muchas gracias excelente video
Muchas gracias por la explicación tan clara y de forma tan sencilla!!!
Muy buen vídeo, gracias por la información c:
Que explicación!!!! Excelente 😁😁😁 lo mejor de lo mejor su canal!
Super claro. Gracias
inge gracias por la explicación, pero si es una vulnerabilidad porque no se parcho desde hace tiempos y creo que una pregunta mas interesante, porque se hizo un boom reciente en los ultimos meses
Muy bueno y lo bueno también es que no uso ningún servidor Apache puro IIS.
Justo eso estaba leyendo en Internet esta mañana..
Exelente video, muchas gracias por la informacion, y ya estoy ansioso por esperar el video
muy buena explicación
pregunta: Lo que paso con la nube d e Amazon hace unas semanas que parecia ser una Dos, enrrealidad podria haber sido esto del log4j? hay posibilidad?
Excelente explicación, muy claro y con información de valor, gracias por compartir
Gracias, muy buena explicacion
Fantástico lo que enseñas! Deberías de tener videos en otra aplicación como twitch para mostrar la práctica! Serias genial!
Excelente tu contenido! Siempre viendo todos tus videos!
Excelente video, como siempre claro y fácil de digerir.
Muchas gracias Profe.
me quedo muy claro, gracias por la explicacion.
Grande crack. Que buena info saludo informatico
Gracias por la información. Tenia esa duda
Excelente profe siga con los videos!!! 👌 donde se puede ver en la práctica que no sea tu tubo
No me quedó claro que papel juega el log4j en el segundo caso. La acción del servidor de intentar generar un registro, vía Log4j, en el archivo de log, provoca que se ejecute el comando que se está recibiendo?
Excelente video, como se llama el otro canal? Para tmb seguirlo (y)
Rapido y sencillo, buen trabajo!
Muchas gracias, grande es el conocimiento que nos brindas :)
Sigue dandonos más conocimiento.
Excelente explicação, bem resumida e direto ao ponto! Abraços!
Excelente como siempre Maestro, saludos desde República Dominicana.🇩🇴
apt vs equipos de TI, excelente aplicacion interesante los IoC de esta vulnerabilidad
En mi empresa, mandaron actualizar todos los repositorios.
Muy buena explicación!! Gracias
Y como parchar está vulnerabilidad, lo que leí es actualizar a la versión del log4j, pero he buscando el how to y no lo he encontrado
buenísima explicación!! like y suscrito
gracias!!!!!
Gracias Maestro!!!
Profe Grandes
Agradezco mucho los aportes que haces, puedes usar Library para subir videos que no se pueden en YT.
Gracias por la info!! ¿para cuando el canal de discord?. saludos
Es terrible la vulnerabilidad, en practicamente TODAS las aplicaciones spring boot con las que he trabajado usan log4j. Se viene un strike masivo de ransomwares a los equipos incautos.
Apache ya liberó un fix, a mantenerse a salvo.
Son tiempos inquietantes...
@SomeThings cual es el fix?
@@hecaiv
Actualizar la version de log4j, eso soluciona el problema.
@@christian.mar.garcia gracias, alguna versión en específico? O solo a la última versión ?
@@hecaiv 2.16
@@christian.mar.garcia Cómo se actualiza eso ?
Muy clara la explicación 👏👏👏
Me siembra una duda como detectaron esta vulnerabilidad fue por nuevos endsyos de pentesting o como supieron que bay ciberdelincuentes explotando esta vulnerabilidad por el log?
Wao a las justas entiendo que complejo es este mundo
buen video crack
gracias x la info, quisiera saber si uno puede ubicar un celular por el Imei apagado?
Bien Explicado
Buena explicación, Felicidades x el canal....
Buen video. ¿Cuál es ese canal del minuto 6:56?
Cómo se soluciona esto? Hay algo que se pueda hacer?
Excelente explicación.
yo creo que falto poner algunos comandos que se pueden ejecutar para encontrar la vulnerabilidad
eso pasa por no implementar paradigma de verificación formal como standard.
Gracias :)
O sea que cuando log4j realiza el log del User-Agent, log4j ejecuta lo que el atacante puso en User-Agent?
Hola master como le va, necesito saber algún software para detectar esta vulnerabilidad ¿?
ni Joaquin Lopez Doriga tiene las noticias tan pronto. hahah. Felicidades!
Suscrito.
Muy buen video David, podrías hacer uno mostrando en un ejemplo real? Saludos cordiales
Ese Problema lleva desde el 2013 y hasta ahorita que si lo revelaron empiezan a hablar de ello cómo si fuera un tema nuevo....
gracias profesor , como siempre ayudando a la comunidad.
Por cierto hay parche para windwos 10?
Desde la página de apache.
De aquí en adelante depende de la aplicación web y el modo de despliegue.
@@UnDarkVader gracias amigo, vi la web pero mee d complicado entender el código, gracias
Solo hay que crear un software que haga la misma función de Log4j. Pero que se identifique el code de acceso y dar otros protocolos diferente y con mas seguridad 🙏.
Pues ahí está logback amigo
💯💯💯💯💯💯
Nunca abra suficiente seguridad.
Y quien sabe cuantas librerias tan peligrosas como estas dependemos
Hasta da miedo pensarlo.
Por eso e dejafo de usar mi pc durante un tiempo, y tambien deje de jugar minecraft por eso
nada es casualidad. en mi parecer eso era un backdoor que la nsa dejo para hackear cualquier sistema informatico pero ahora esa info es acceso publico
la intro es muy larga! 30 seg! ,
yo soporto un máximo de 10s
Profesor buenos Días Muy Buena información Gracias por Tan Excelente información Me gustaría que si se pudiera en el próximo Video Me Nombraras Mi Nombre Es Juan Pablo Franco Lozada un saludo Especial.
lo mismo de siempre "inyeccion de codigo"
profesor pero por que nombras "Mozilla" acaso esta vulneravilidad solo afecta a los usuarios de firefox o no importa el navegador y afecta a cualquier novegador.
es que se lo comento por que en ocaciones hace ya un tiempo como 5 semanas recivi por parte de cromer el mensaje de " invalid user agent ver1.x.x.x" o halgo asi, la verdad no recuerdo vien pero me paso como 3 o 4 veces ya, y noto que es cuando trabajo en los estudios con el VScode y lo visualizo con el "Live server"
No te afecta por usar firefox, no te preocupes. Tampoco afecta a ningún navegador, afecta a servidores.
Esta muy grueso el asunto
*¿Quien vino por el hackeo de German?*
Apoco fue así?
Crea otro canal por si las moscas 😞
En señame hacer un hacker
@TheGamer1997_YT grey
esto ya depende mucho de la ética de la persona que tiene los conocimientos sobre estas cosas, fácilmente podrías estafar a alguien sin que se diera cuenta
30 segundo de intro es muy largo, 5 segundos como mucho
Muy interesante el video, para revisar mis servidores use el siguiente script
"for line in $(find / -name \*.jar 2>&1 | grep log4j)
do
echo "DEBUG:potential log4j candidate on $line"
done"
Pero no me dijo muy conforme, alguien conoce otro método?