1 июля 2025

eur = 92.27 -0.01 (-0.01 %)

btc = 107 122.00$ -1 341.34 (-1.24 %)

eth = 2 479.03$ -23.61 (-0.94 %)

ton = 2.88$ -0.01 (-0.39 %)

usd = 78.53 0.06 (0.08 %)

eur = 92.27 -0.01 (-0.01 %)

btc = 107 122.00$ -1 341.34 (-1.24 %)

Против уязвимости в библиотеке Log4j не помогают патчи безопасности

2 минуты на чтение
Против уязвимости в библиотеке Log4j не помогают патчи безопасности

Несколько дней назад стало известно, что специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили в Log4j уязвимость нулевого дня, которая позволяет удалённо выполнить произвольный код и взломать серверы крупнейших компаний, а также миллионы устройств в интернете.

Выявлена 0-day уязвимость в библиотеке Log4j, представляющая угрозу для множества приложений
Специалисты по вопросам кибербезопасности в Alibaba Cloud обнаружили опасную уязвимость, которая может позволить злоумышленникам удалённо выполнить произвольный код.

Уязвимость CVE-2021-44228 набрала 10 баллов из 10 возможных по шкале CVSS. По уверениям экспертов из LunaSec, эксплоит затронул серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и тысячи других компаний. После этого в Log4j был выпущен экстренный патч под версией 2.15.0, который исправляет данную ошибку.

Однако это привело к обнаружению новой уязвимости (CVE-2021-45046), которая делает исправление безопасности бессмысленным:

Было обнаружено, что исправление для устранения CVE-2021-44228 в Apache Log4j 2.15.0 было неполным в некоторых конфигурациях не по умолчанию. Это может позволить злоумышленникам, имеющим контроль над входными данными Thread Context Map (MDC), [...] создать вредоносные входные данные с использованием шаблона JNDI Lookup, что приводит к DOS-атаке.

Оказалось, что если передавать строку не напрямую, а через промежуточную переменную, то библиотека Log4j будет так же бесконтрольно выполнять любой код в этой строке. Для защиты от атаки разработчики советуют обновить библиотеку до новейших версий 2.16 или 2.12.2.

Против уязвимости в библиотеке Log4j не помогают патчи безопасности
Рост атак с попытками использовать уязвимость. Изображение: Check Point

Новый патч предполагает закрытие возможности подставлять в строки специально оформленный код. Тем временем за первые трое суток после того, как стало известно об уязвимости, произошло более 800 000 атак с попытками использовать её. Эксперты отмечают, что эксплоитом пользуются майнеры и вирусы-шифровальщики.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
2737c621-d628-4a44-9350-431fc416c777-изображение-0648c944a-47e1-4190-a7e4-00141e05901a-изображение-1

GigaChat Max: коротко о главном

Инсайдер: Apple разрабатывает 7 AR- и VR-устройств, которые выйдут в ближайшие четыре года

Полная версия 
a96a0e6a-3fe9-4b49-b564-965013b85900-изображение-0da98c41b-6488-405f-bad3-8e0963b48652-изображение-1

GigaChat Max: коротко о главном

В Китае провели футбольный матч между гуманоидными роботами

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 366
X5 Tech
Газпромбанк
билайн
Сбер
Т-Банк
МТС
Яндекс Практикум
Ozon Tech
Циан
Банк 131

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы