13 июля 2025

eur = 91.12 -0.38 (-0.41 %)

btc = 117 337.00$ - 203.35 (-0.17 %)

eth = 2 941.17$ -14.98 (-0.51 %)

ton = 2.99$ 0.04 (1.24 %)

usd = 77.89 -0.02 (-0.02 %)

eur = 91.12 -0.38 (-0.41 %)

btc = 117 337.00$ - 203.35 (-0.17 %)

Выявлена 0-day уязвимость в библиотеке Log4j, представляющая угрозу для множества приложений

1 минута на чтение
Выявлена 0-day уязвимость в библиотеке Log4j, представляющая угрозу для множества приложений

Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете. В настоящий момент выпущен экстренный патч, который исправляет данную ошибку.

Упомянутая уязвимость получила название Log4Shell (CVE-2021-44228) и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Эксплоит допускает удалённое выполнение произвольного кода (RCE), причём для этого не нужны особые технические навыки.

Уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, обрабатывать определенную строку в своих внутренних системах. За счёт чего становится возможно загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом хакеры могут перехватить контроль над приложением или сервером.

Впервые уязвимость была обнаружена во время поиска багов на сервере Minecraft. Однако она затрагивала все системы и службы, использующие библиотеку логирования Java, Apache Log4j между версиями 2.0 и 2.14.1. Обнаружившие проблему специалисты Alibaba Cloud продемонстрировали работу эксплойта, запустив сторонний код на серверах Minecraft, просто отправив сообщение с кодом в окно игрового чата.

Критическая опасность связана с повсеместным присутствием Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j включена во все корпоративные продукты, выпущенные Apache Software Foundation.

Ситуация осложняется тем, что об уязвимости стало широко известно до того, как было выпущено исправление библиотеки. По словам экспертов из компании LunaSec, эксплоит затронул серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний.

В настоящий момент уже выпущено обновление до версии 2.15.0, в которой она устранена.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
Гендиректор Intel признал: компания проиграла гонку ИИ и больше не входит в топ-10 производителей чипов

GigaChat Max: коротко о главном

Гендиректор Intel признал: компания проиграла гонку ИИ и больше не входит в топ-10 производителей чипов

Полная версия 
Суд в Москве продлил арест экс-главе Binance в СНГ Владимиру Смеркису по делу в крупном мошенничестве

GigaChat Max: коротко о главном

Суд в Москве продлил арест экс-главе Binance в СНГ Владимиру Смеркису по делу в крупном мошенничестве

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Новости
Карьера
Блоги 375
Газпромбанк
Сбер
OTP Bank
Т-Банк
X5 Tech
билайн
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы