V Log4j ďalšia zraniteľnosť, predchádzajúca je oveľa vážnejšia

Značky: bezpečnosťJava

DSL.sk, 20.12.2021

V rozšírenej Java knižnici Apache Log4j používanej pre logovanie bola identifikovaná ďalšia bezpečnostná zraniteľnosť a The Apache Software Foundation vydala ďalšiu novú opravenú verziu Log4j 2.17.0.

Zároveň druhá zraniteľnosť objavená v poslednom čase, CVE-2021-45046, je výrazne závažnejšia ako tvorcovia avizovali pôvodne.

V knižnici Log4j bola v prvej polovici mesiaca zverejnená veľmi vážna zraniteľnosť CVE-2021-44228 s označením Log4Shell, ktorá v štandardnej konfigurácii umožňuje útočníkovi stiahnuť a spustiť zvolený kód z LDAP servera alebo iného JNDI zdroja pod jeho kontrolou cez syntax ${}, ak sa logujú aj informácie zvolené útočníkom. Tým môže získať kontrolu nad zraniteľným serverom alebo zariadením a zraniteľnosť má maximálne základné CVSS skóre 10.0.

Zraniteľnosť sa nachádza vo verziách 2.0-beta9 až 2.14.1 a bola opravená v novej verzii 2.15.0. Oprava ale nebola úplná a identifikovaná bola ďalšia zraniteľnosť CVE-2021-45046 v niektorých neštandardných konfiguráciách. Podľa pôvodných informácií tvorcov zraniteľnosť mala umožňovať iba DoS, Denial-of-Service, útok a mala CVSS skóre 3.7.

Podľa aktualizovaných informácií The Apache Software Foundation zraniteľnosť umožňuje v niektorých prostrediach ale vzdialené spustenie kódu a v ostatných lokálne spustenie kódu. Závažnosť zraniteľnosti tak bola výrazne zvýšená na kritickú zraniteľnosť s CVSS skóre 9.0.

Najnovšia zraniteľnosť CVE-2021-45105 v niektorých neštandardných konfiguráciách môže viesť k nekontrolovanej rekurzii a podľa The Apache Software Foundation umožňuje DoS útok. Zraniteľnosť má CVSS skóre 7.5 a opravená je v novej verzii Log4j 2.17.0.


Najnovšie články:



Diskusia:

no toto je život ! Od: mkonigstagenius | Pridané: 20.12.2021 8:55 Ja by som tie knižnice pozakazoval a developeri nebudú mať čo žrať Odpovedať Známka: 0.0 Hodnotiť:

Re: no toto je život ! Od: _iso | Pridané: 20.12.2021 18:05 Stačí prestať logovať. Odpovedať Hodnotiť:

Ho ho ho Od: D-man | Pridané: 20.12.2021 9:02 Este 4x a su tu vianoce :) Odpovedať Známka: 8.8 Hodnotiť:

Re: Ho ho ho Od: cewfwfw | Pridané: 20.12.2021 16:58 Ono balit balicky nove a nove sa takto pred vianocami hodi. Odpovedať Známka: 3.3 Hodnotiť:

ultraumiernený prakticizmus Od: syntaxterrorXXX,. X | Pridané: 20.12.2021 17:40 Kto má gule, spraví jednoducho binárku a nie kvôli každej pičovine balíček, čo sa rozprskne po /usr jak hovno v mixéri. Odpovedať Známka: 10.0 Hodnotiť:

Re: ultraumiernený prakticizmus Od: Matus UHLAR - fantomas | Pridané: 21.12.2021 14:01 a miesto pripadneho upgradu jedneho balicka musi potom upgradovat vsetko Odpovedať Hodnotiť:

tutilok Od: CyberPunker | Pridané: 20.12.2021 9:27 tak vás poprosím nakrájať 20 deka tej vážnejšej zraniteľnosti Odpovedať Známka: 10.0 Hodnotiť:

a to len preto Od: ktooosooom | Pridané: 20.12.2021 10:04 A to len preto, ze chceli usetrit a na vratnicu nedali vratnika/SBS, ktory by do zosita zapisoval logy. Odpovedať Známka: 10.0 Hodnotiť:

Re: a to len preto Od: miiiiicho | Pridané: 20.12.2021 10:39 Ten by akurat tak logal, a nie logoval :] Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny ohladuplnizmus Od: syntaxterrorXXX,. X | Pridané: 20.12.2021 10:42 To je tak typicky úzkoprsé zmýšľanie! A odkiaľ majú asi tak investičné finančné skupiny ťahať tie milióny na podporu nádejných startupov, keď neušetria priekazne ani na plate vrátnika? Odpovedať Známka: 6.0 Hodnotiť:

dnes má meniny Dagmara, Dagmar Od: Pravy_Bozzz | Pridané: 20.12.2021 13:28 U nas na firme sa to stat nemoze. Platime cloveka, ktory rucne approvuje kazdy jeden log. Akonahle je to mimo nas, tak sa nepusti dalej. Odpovedať Hodnotiť:

logovanie Od: OriginalnyKoumak | Pridané: 20.12.2021 15:30 To uz teda nech radsej zacnu logovat cez: iptables -I INPUT -p tcp --dport 80 -j NFLOG ... a bude to bezpecnejsie ;) Odpovedať Hodnotiť:

Pridať komentár