22 ноября 2024

eur = 105.81 0.08 (0.07 %)

btc = 98 202.00$ 4 073.65 (4.33 %)

eth = 3 369.60$ 293.33 (9.54 %)

ton = 5.49$ 0.17 (3.13 %)

usd = 100.22 0.18 (0.18 %)

eur = 105.81 0.08 (0.07 %)

btc = 98 202.00$ 4 073.65 (4.33 %)

Форум

Выявлена 0-day уязвимость в библиотеке Log4j, представляющая угрозу для множества приложений

1 минута на чтение
Выявлена 0-day уязвимость в библиотеке Log4j, представляющая угрозу для множества приложений

Читать первым в Telegram-канале «Код Дурова»

Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете. В настоящий момент выпущен экстренный патч, который исправляет данную ошибку.

Упомянутая уязвимость получила название Log4Shell (CVE-2021-44228) и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Эксплоит допускает удалённое выполнение произвольного кода (RCE), причём для этого не нужны особые технические навыки.

Уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, обрабатывать определенную строку в своих внутренних системах. За счёт чего становится возможно загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом хакеры могут перехватить контроль над приложением или сервером.

Впервые уязвимость была обнаружена во время поиска багов на сервере Minecraft. Однако она затрагивала все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1. Обнаружившие проблему специалисты Alibaba Cloud продемонстрировали работу эксплойта, запустив сторонний код на серверах Minecraft, просто отправив сообщение с кодом в окно игрового чата.

Критическая опасность связана с повсеместным присутствием Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j включена во все корпоративные продукты, выпущенные Apache Software Foundation.

Ситуация осложняется тем, что об уязвимости стало широко известно до того, как было выпущено исправление библиотеки. По словам экспертов из компании LunaSec, эксплоит затронул серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний.

В настоящий момент уже выпущено обновление до версии 2.15.0, в которой она устранена.

Сейчас читают
Карьера
Блоги 295
Т-Банк
Газпромбанк
X5 Tech
МТС
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131