5 октября 2024

eur = 104.87 0.42 (0.40 %)

btc = 62 149.00$ 1 051.60 (1.72 %)

eth = 2 410.42$ 45.69 (1.93 %)

ton = 5.32$ -0.02 (-0.31 %)

usd = 95.03 0.52 (0.55 %)

eur = 104.87 0.42 (0.40 %)

btc = 62 149.00$ 1 051.60 (1.72 %)

Форум

Против уязвимости в библиотеке Log4j не помогают патчи безопасности

2 минуты на чтение
Против уязвимости в библиотеке Log4j не помогают патчи безопасности

Читать первым в Telegram-канале «Код Дурова»

Несколько дней назад стало известно, что специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили в Log4j уязвимость нулевого дня, которая позволяет удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете.

Выявлена 0-day уязвимость в библиотеке Log4j, представляющая угрозу для множества приложений
Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код.

Уязвимость CVE-2021-44228 набрала 10 баллов из 10 возможных по шкале CVSS. По уверениям экспертов из LunaSec, эксплоит затронул серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний. После этого в Log4j был выпущен экстренный патч под версией 2.15.0, который исправляет данную ошибку.

Однако это привело к обнаружению новой уязвимости (CVE-2021-45046), которая делает исправление безопасности бессмысленным:

Было обнаружено, что исправление для устранения CVE-2021-44228 в Apache Log4j 2.15.0 было неполным в некоторых конфигурациях не по умолчанию. Это может позволить злоумышленникам, имеющим контроль над входными данными Thread Context Map (MDC), [...] создать вредоносные входные данные с использованием шаблона JNDI Lookup, что приводит к DOS-атаке.

Оказалось, что если передавать строку не напрямую, а через промежуточную переменную, то библиотека Log4j будет так же бесконтрольно выполнять любой код в этой строке. Для защиты от атаки разработчики советуют обновить библиотеку до новейших версий 2.16 или 2.12.2.

Рост атак с попытками использовать уязвимость. Изображение: Check Point

Новый патч предполагает закрытие возможности подставлять в строки специально оформленный код. Тем временем за первые трое суток после того, как стало известно об уязвимости, произошло более 800 000 атак с попытками использовать её. Эксперты отмечают, что эксплоитом пользуются майнеры и вирусы-шифровальщики.

Сейчас читают

Картина дня

5 октября, 2024
5 октября, 20242 минуты на чтение
Фото Влад Войтенко
Влад Войтенко
2 минуты на чтение
[ Новости ]
[ Статьи ]
Личный опыт работы
Блоги 273