آسیب‌پذیری روز صفر در log4j

چند ساعتی از انتشار عمومی رخنه امنیتی کتابخانه log4j که بصورت وسیع در برنامه‌های نوشته شده به زبان جاوا، می‌گذرد. این آسیب‌پذیری با شماره CVE-2021-44228 شناخته شده و تمامی نگارش‌های مابین ۲.۰.۰ تا ۲.۱۴.۱ را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری به هکران امکان اتصال از راه‌دور و به‌دست‌گیری کنترل کل سرور را می‌دهند. این آسیب‌پذیری ابتدا در minecraft شناخته شد اما پس از مدتی، محققان متوجه شدند که بسیاری از نرم‌افزارهای ابری تحت تاثیر این آسیب‌پذیری هستند.

اگر شما از آسیب‌پذیر بودن برنامه‌های خود اطلاع ندارید، پیشنهاد می‌کنیم برنامه‌نویس / مدیر فنی / ارائه دهنده خدمات وب‌هاستینگ خود را در جریان بگذارید و از امن بود برنامه‌های خود اطلاع حاصل کنید. ممکن است برنامه‌شما به‌صورت مستقیم از این کتابخانه استفاده نکرده باشند اما از پروژه‌های دیگری مانند elasticsearch استفاده کرده باشید که آن‌ها از کتابخانه log4j استفاده می‌کنند.

برای بستن این رخنه، می‌توانید log4j2.formatMsgNoLookups را روی حالت روشن یا true قرار دهید. برای این کار، دستور زیر را به کامند (command) آغازین JVM خود اضافه کنید.

‐Dlog4j2.formatMsgNoLookups=True

همچنین فورا، تمامی کتابخانه‌های log4j خود را به نگارش ۲.۱۵.۰ این برنامه بروزرسانی کنید.


برای بررسی اینکه قبلا از این حمله آسیب دیده‌اید، پیشنهاد می‌شود که تا log برنامه‌هایی که این رخنه را داشته‌اند را به منظور یافتن هرگونه رفتار مشکوک بررسی کنید. برای مطالعه بیشتر اینجا را بخوانید.

جاب‌گای، تجربه یک مسئولیت اجتماعی

گمان می‌کنم که جاب‌گای را بشناسید؛ برای آن دسته از دوستانی که نمی‌شناسند:

تا چند روز پیش تعریف آن برای من این بود‌: «جاب‌گای یک سکوی نشر اطلاعات درباره تجربه مصاحبه و حضور در شرکت‌هاست» اما اکنون این تعریف مقداری دچار تحول شده. پس از تصمیمی که چند روز پیش گرفتیم.

با وجود تمام تلاش‌های تیم جاب‌گای، در نهایت با ناراحتی تصمیم گرفتیم که پایگاه جاب‌گای در این لحظه به ایستگاه پایانی خود برسد و باشد که این نقطه، سرآغاز شروع جنبش‌های دیگری باشد. جاب‌گای نیز اکنون برای من معنی والاتری گرفت. تمایل دارم جاب‌گای را زین پس به معنی این حرکت به خاطر بسپارم؛ نه آن پایگاه. این حرکت و حرکت‌های بعدی که در این مسیر اتفاق می‌افتند. در نتیجه شما را در این حرکت همراه می‌دانم و در ادامه شما را هم بخشی از جاب‌گای می‌دانم.

Continue…

مهاجرت [به ترکیه] – نیت، تجمیع، حرکت!

الان ساعت ۱۸:۰۰ روز چهارشنبه است و احتمالا شما در حال رفتن از ترافیکِ سرسام‌آور محل کارِ خود به سوی منزل هستید. بهره‌وری شما در محل کار به‌دلیل قطعی‌های پی‌درپی برق، بسیار کم بوده و عصبی شده‌اید. کلی‌تر بنگریم؛ این اولین بار نیست. حتی تنها خبر بد هم نیست. شما از اتفاقات شومی که به سانِ دومینو برای ایرانه خانم زیبا رخ می‌دهد، خسته شده‌اید. دیگر امیدی به بهبودِ شرایط به ویژه پس از انتصاب سید ابراهیم رئیسی به ریاست جمهوری ندارید. چه می‌شود کرد؟ راه دیگری جز سوختن و ساختن داریم؟

Continue…

هزینه واقعی فرسودگی (burnout) و راهکارهای جلوگیری از آن

همراه با ۵ نکته علمی برای خودمراقبتی

اگر چه ممکن است وسوسه‌انگیز باشد که خودت را تحت فشار بگذاری تا زودتر کارها را به اتمام برسانی [و از دست آن‌ها راحت شوی] اما این مسیر می‌تواند تورا به سوی «فرسودگی» سوق دهد.

Continue…

تمرکز و کار عمیق – سلاح مخفی شما برای تبدیل شدن به یک توسعه‌دهندهٔ ۱۰×

یا چگونه به یکی از اون برنامه‌نویس‌های گرون که شرکت‌ها عاشق استخدامشونن، تبدیل بشیم.

مهم نیست اگه با خیلی سرتون شلوغه یا یک برنامه‌نویس کم‌تجربه‌اید که دنبال پیشرفته.
مهم نیست اگه شما یک برنامه‌نویس ارشد هستید که به دنبال سرعت بیشتره، چه تو یک شرکت فوق‌العاده بزرگ و چه تو یک استارت‌آپ کوچیک. حتی مهم نیست اگه شما یک فارغ‌التحصیل هستید که هنوز کار پیدا نکردید. تو هر وضعی که هستید، این پست کمکتون می‌کنه.

مقدمه مترجم: در فرنگ، اخیرا کلمه توسعه‌دهنده ۱۰× یا «۱۰X developer» باب شده که در صورت تمایل،‌ می‌توانید اینجا بیشتر در مورد آن بخوانید. در ابتدا قصد داشتم این کلمه را با معادلی مثل «توسعه‌دهنده سطح ۱۰» یا «توسعه دهنده ۱۰برابری» و یا حتی «توسعه دهنده ضربدر ۱۰» جایگزین کنم اما حس کردم معنی این کلمه به صورت صحیح، منتقل نمی‌شود. بنابراین از «توسعه دهنده ۱۰×» استفاده کردم تا جایگزین بهتری پیشنهاد دهید.

Continue…

امین؟ محمد؟ سید؟ من رو چی صدا کنید؟

یه اصلی بود که اولین بار تو بلاگ جادی خوندم و می‌گفت: «اگه سوالی بیشتر از سه‌بار پرسیده بشه، جوابش رو یه جا می‌نویسم.». منم به این اصل اعتقاد دارم و اومدم یک‌بار برای همیشه جواب این سوال رو بدم!

اگه دنبال جواب کوتاهید: خودمم نمی‌دونم. هرچی که خودتون دوست دارید.

Continue…

آیا نرم‌افزار آزاد برای خلاق‌های حرفه‌ای مناسب است؟

من طرفدار استفاده از نرم‌افزار آزاد و متن‌باز «FOSS» در بین خلاق‌های حرفه‌ای هستم. من در مورد اینکه چرا خلاق‌ها باید نرم‌افزارهایی با مجوزهای بهتر انتخاب کنند، نوشتم. همچنین در کنفرانس‌های نرم‌افزار درباره اینکه چگونه پروژه‌های آزاد و متن‌باز «FOSS» می‌توانند خلاق‌های حرفه‌ای را جذب کنند، صحبت کرده‌ام. آژانس خلاقیتِ من در کارهای ما برای آمازون‌، Skullcandy و بسیاری از برندهای دیگر از جایگزین‌های دیگر برای نرم‌افزارهای Adobe و Autodesk استفاده می‌کنه. اما مشخصه که بسیاری از مردم فکر می‌کنند کاری که ما انجام می‌دهیم ما را از حرفه‌ای بودن محروم می‌کنه. وقتی به اینترنت می‌رم، اغلب این استدلال را می خوانم «FOSS برای خلاق‌های حرفه‌ای واقعی غیرقابل‌استفاده است چون [درج عناوین زیر در اینجا]»

Continue…

جشن آزادی نرم‌افزار ۱۳۹۸: خوب، بد، زشت

سلام

تو جمعه‌ای که گذشت یعنی هشتم شهریور ماه ۱۳۹۸، ما تو باغ کتاب یه رویداد برگزار کردیم به اسم «جشن آزادی نرم‌افزار». سعیمون رو کردیم که از لحاظ زمانی، مقاربت داشته باشه با تاریخ برگزاری جهانیش یعنی August 28؛ اما خب به دلیل نزدیک شدن ماه محرم امکان برگزاری در تاریخ دقیقش رو نداشتیم. مخصوصا که اسم رویداد با کلمه «جشن» شروع می‌شد.

تو این قسمت می‌خوام از روزای اولش بگم. اگه کسایی سال‌های آینده تصمیم گرفتند این رویداد رو برگزار کنند، شاید بتونه کمک کنه که چه مشکلاتی پیش روی ما بوده.

Continue…

حفاظت شده: ه.

این محتوا با رمز محافظت شده است. برای مشاهده رمز را در پایین وارد نمایید: