V rozšírenej knižnici Log4j vážna zraniteľnosť, útočí sa na ňu

Značky: bezpečnosťJava

DSL.sk, 13.12.2021

V rozšírenej Java knižnici Apache Log4j používanej pre logovanie sa nachádza veľmi vážna zraniteľnosť zneužiteľná na diaľku, na ktorú sa v súčasnosti už na Internete útočí.

Zraniteľnosť CVE-2021-44228 s označením Log4Shell umožňuje útočníkovi stiahnuť a spustiť zvolený kód z LDAP servera alebo iného JNDI zdroja cez syntax ${}, ak sa logujú aj informácie zvolené útočníkom.

Zraniteľnosť bola odstránená v novej verzii Log4j 2.15.0, v ktorej je toto správanie štandardne zakázané.

Podľa informácií The Apache Software Foundation sa zraniteľnosť nachádza vo verziách 2.0-beta9 až 2.14.1. Vo verziách od 2.7 sa dá zneužitiu zabrániť zmenou konfigurácie, detaily uvádzajú informácie organizácie. V skorších verziách sa dá zneužitiu zabrániť odstránením triedy JdniLookup z knižnice.

Zraniteľnosť bola zverejnená na konci uplynulého týždňa, služba Cloudflare zaznamenala prvý exploit ale už 1. decembra. Masové zneužívanie odštartovalo podľa služby až po zverejnení zraniteľnosti.

Vyčerpávajúci zoznam zraniteľného softvéru využívajúceho túto knižnicu zatiaľ zrejme nie je k dispozícii, zraniteľnosť sa ale nachádza v Minecrafte a zrejme vo veľkom množstve enterprise softvérov aj viacerých cloudových službách.

Na zraniteľnosť sa podľa informácií viacerých bezpečnostných spoločností v súčasnosti už útočí a zneužíva sa okrem iného na inštalovanie rozličného malvéru.




Najnovšie články:



Diskusia:

Zranitelnosti Od: OriginalnyKoumak | Pridané: 13.12.2021 9:35 No vsetky tieto siroko vyuzivne zranitelnosti su len dosledkom upadku kvality programovania aj testovania pred nasadenim produktu. Kedysi programatori datlovali kod cele dni - tyzdne - mesiace, dnes vyuziju akukolvek dostupnu kniznicu, bez akejkolvek myslienky na bezpecnost, len aby bol kod natukany cim skor a s co najmenej namahy. :( Odpovedať Známka: 0.7 Hodnotiť:

Re: pohoda Od: ako dinosaury | Pridané: 13.12.2021 9:55 Presne takto to vyzerá pár generácií pred vyhynutím. Pohoda, luxus, nadbytok, veď nejde o život, vždy sa nájde dobrovoľník čo to urobí za mňa... až jedného dňa nebude mať kto urobiť dobrovoľníka. Odpovedať Známka: 3.3 Hodnotiť:

Re: pohoda Od: Tghzbss | Pridané: 13.12.2021 10:39 Japonci už experimentujú s adult robotmi tak myslím, ze dobrovoľníkov bude mat kto urobiť aj v budúcnosti. Odpovedať Známka: 5.6 Hodnotiť:

Re: Zranitelnosti Od: Jablčný Koláč | Pridané: 13.12.2021 9:56 To je dosledok pouzivania roznych conan, NuGet, pip, cargo, npm / yarn, maven, OPAM, RubyGems, cpan package managerov kde si uzivatel nataha 100ky packages a potom z toho pozliepa program. Namiesto napisania dvoch riadkov kodu, bez rozmyslu prida dalsich 10 balikov. Potom su tie appky pomale nenazrane a v projekte su tisice roznych suborov, ktore nikto nepodrobi ziadnemu bezpecnostnemu auditu. Dnes si vlastny balicek napise kludne aj siedmak na ZS, dva tyzdne potom ako v JSku napisal svoj prvy hello world a potom ho bez rozmyslu pozuivaju tisice ludi na celom svete. Programatorov je malo a tak sa nimi stava kde kto. Naucia sa par navrhovych vzorov, naucia sa lepit kod z balikov a tramtadada dalsi programator je na svete. Odpovedať Známka: 1.9 Hodnotiť:

Re: Zranitelnosti Od: ripley | Pridané: 13.12.2021 10:10 To je sice pekne, len si zabudol spomenut aka bola komplexnost softveru pred 30 rokmi a aka je dnes a navyse akym tempom sa dnes vsetko vyvija.. by si si nezarobil ani na teplu vodu podla toho co pises:) Odpovedať Známka: 4.3 Hodnotiť:

Re: Zranitelnosti Od: Bzdocha | Pridané: 13.12.2021 11:06 Tempo už najmenej 15 rokov netreba nikam uháňať. Výkonu VGA či CPU je nadostač. Ale aby mi PC z roku 2000 išiel s jeho OS rýchlejšie ako ten dnešný a s neviem koľko RAM a jadierok v CPU a nič to človeku nepomáha ušetriť čas či námahu. Programoval som niečo ako stroják v hexa zápise, assembler som ešte ani poriadne nepoznal - písal som rovno kódy, C3 00 12... Odpovedať Známka: -1.5 Hodnotiť:

Re: Zranitelnosti Od: ripley | Pridané: 13.12.2021 11:22 No tak to si kapacita, otazka je kto ti za to zaplati Odpovedať Známka: 4.3 Hodnotiť:

Re: Zranitelnosti Od: hedhjd | Pridané: 13.12.2021 21:13 Asi trosku neuvadzas veci na pravu mieru, pretoze vela tych pozliepanych veci obalickovanych, tak ten ich runtajm je programovany v niecom, co uz bezny lepic android appiek v jave alebo kotline nema sancu dat.. c, cpp, c#... Tu uz koncia ti tvoji super rychly cashflow programatori a nastupuju skutocni programatori... systemove softy detto. Priklad: nechcel by som pouzivat OS napisany cisto v jave, aj ked tusim taky existuje. A hadaj preco nie je rozsireny. Odpovedať Známka: -0.9 Hodnotiť:

Re: Zranitelnosti Od reg.: Kvík? | Pridané: 13.12.2021 11:29 Hej, bo veľká väčšina z toho nie sú úplné blbosti, ktoré v skutočnosti nikomu netreba. Odpovedať Známka: 0.0 Hodnotiť:

ultraumiernený prakticizmus Od: syntaxterrorXXX,. X | Pridané: 13.12.2021 11:10 Holt,v ére #MeToo si veru i švárny junák, či sa bude trepať za princeznov ohľadom dvoch riadkov kodu za tri frameworky a sedem postbackov, kde nie sú svedkovia, rozmyslí priekazne aspoň dvakrát. Odpovedať Známka: 0.9 Hodnotiť:

Re: Zranitelnosti Od reg.: andin | Pridané: 13.12.2021 12:30 Programatori robia hlavne to za co im zaplatia. Zakupit lepsi hw je lacnejsie ako platit optimalizaciu. Takze to nie je iba vina programatorov. V praci robim tak aby to splnalo poziadavky klienta (ktore sa uz viac orientuju na rychlost ako na kvalitu, ale to nie je moj problem). V projekte co si kodim doma po veceroch pre zabavu by si nenasiel ani jednu externu libku. Odpovedať Známka: 5.7 Hodnotiť:

Re: Zranitelnosti Od: djdksk | Pridané: 13.12.2021 21:15 v htmk ich moc ani nepotrebujes Odpovedať Známka: -2.5 Hodnotiť:

Re: Zranitelnosti Od: grepfruit | Pridané: 13.12.2021 10:04 Niekedy sa este robil engineering, dnes sa pozliepaju narychlo hatlaniny aby mamanzment mohol pohladkat po ramene majstra sveta. Uplna topka je ked IT ide robit frajer ktory od toho nema ani vzdelanie, ani predpoklady ale isiel do oboru skrz mzdu a dnes uz predsa moze robit IT kazdy. Hlavne ze vsade pocuvame nezmysly aka je Java bezpecna... netreba sa o nic starat, len buchat kod, zvysok zariadi DzejViEm-ko :D. Odpovedať Známka: 1.3 Hodnotiť:

Re: Zranitelnosti Od: spyje | Pridané: 13.12.2021 18:28 IT moze robit kazdy koho to bavi, formalne vzdelanie sa precenuje. Je jedno ci programuje Ing z FIIT alebo nejaky nadsenec bez maturity. Kvalita sa odvija od toho, kolko za projekt zaplatil zakaznik. Tiez si nemyslim ze v IT su moc lakave mzdy, su daleko jednoduchsie cesty zarobit. Skrz mzdu sa uz do IT aspon 10 rokov nechodi. Odpovedať Známka: -4.0 Hodnotiť:

Re: Zranitelnosti Od: kdjsklad | Pridané: 13.12.2021 18:37 Daleko jednoduchsie? naprikald? Odpovedať Hodnotiť:

Re: Zranitelnosti Od: real name | Pridané: 14.12.2021 8:36 stolar Odpovedať Známka: 7.1 Hodnotiť:

Re: Zranitelnosti Od: navaho | Pridané: 14.12.2021 19:50 remeselnici teraz zarabaju brutalne peniaze, urcite viac ako priemerny iteckar. Odpovedať Hodnotiť:

Re: Zranitelnosti Od: sharp-ej | Pridané: 13.12.2021 20:21 Bohuzial nie je to jedno a sucasny stav je toho dosledkom. Samozrejme, ze sa formalne vzdelanie precenuje, ale len do momentu ked sa nieco neposerie. Formalne vzdelanie je tam od toho aby si vedel zaklady a pozadie preco, zaco a ako. Nadsenci sa az tak do detailov nehrnu. Odpovedať Známka: 0.0 Hodnotiť:

Re: Zranitelnosti Od reg.: MackoPu1 | Pridané: 13.12.2021 23:19 Kvalitne formalne vzdelanie je nenahraditelne a 5 rokov na dobrej skole ako by fiit mala byt sa neda samostudiom nahradit za 15 ci 20 rokov. Ja som ho nedostal, skola vtedy nebola. Syn ho dostal a pozerajuc cez rameno vidim co neviem. 2 roky skripal zubami, lebo pohodove slovenske skolstvo, kde studenti bojuju aby nemali maturitu. Chyba mu prax, ale to je len par povinnych cvikov. Odpovedať Známka: 4.0 Hodnotiť:

Re: Zranitelnosti Od: dadadadad | Pridané: 13.12.2021 10:18 vsetci to chcu co najrychlejsie za za najmenej penazi a potom takto Odpovedať Známka: 6.0 Hodnotiť:

Re: Zranitelnosti Od: sensei-san | Pridané: 13.12.2021 10:22 Good, fast, cheap. Pick any two. Odpovedať Známka: 7.8 Hodnotiť:

Re: Zranitelnosti Od: Asdf3 | Pridané: 13.12.2021 10:34 Kedysi :D :D :D Si ochotny zaplatit tie dni prace? To si fakt vazne myslis, ze volakedy sa tak dlho hladali zranitelnosti? Nie je nahodou bezpecnejsie ked jednu kniznicu vyuziva viacej ludi a skor sa potom v nej daju najst chyby ako keby to robil len zopar ludi? Kludne zi vo svojej utopii ze kedysi bolo vsetko lepsie. Takto hovoria ludia uz tisicrocia. Odpovedať Známka: 5.7 Hodnotiť:

Re: Zranitelnosti Od: Testerista | Pridané: 13.12.2021 11:08 Alebo tiež na chyby či nejaké zisťovanie všetci serú, lebo však načo namáhať búdku na krku. Dnes je doba, že každý usiluje len o to, aby mu všetko čo najrýchlejšie od rúk odpadlo. Odpovedať Známka: -1.1 Hodnotiť:

Re: Zranitelnosti Od: Asdf3 | Pridané: 13.12.2021 11:49 A chces povedat, ze dnes su ludia ini v tomto ako boli pred 30timi rokmi? Ale prosim Ta..... Odpovedať Známka: 2.5 Hodnotiť:

Re: Zranitelnosti Od: mraziak | Pridané: 13.12.2021 12:47 Realita je taka ze softver bol este viac deravy ako teraz, nejake bezpecnostne audity nerobil takmer nikto, to sa proste neriesilo ako dnes ked je k internetu pripojena pomaly kazda chladnicka. Navyse aj vyvoj z dnesneho pohladu trivialnej funkcionality trval roky.. Odpovedať Známka: 8.0 Hodnotiť:

Re: Zranitelnosti Od: Pravy_Bozzz | Pridané: 13.12.2021 14:47 Bezpecnostny audit je dneska zdrap papiera, do ktoreho si mozes napisat co chces, nikto to citat nebude. Odpovedať Známka: -4.5 Hodnotiť:

Re: Zranitelnosti Od: sensei-san | Pridané: 14.12.2021 7:36 Máš rovnaký postoj k poistnej zmluve? Alebo školeniu o bezpečnosti práce? Či je niečo zdrap papiera uvidíš, keď sa niečo stane. Odpovedať Známka: 6.0 Hodnotiť:

Re: Zranitelnosti Od: ghnbb | Pridané: 14.12.2021 9:19 Neviem kolko skoleni bezpecnosti prace mas za sebou a v kolkatich firmach, ale hej, vacsinou to je len banalita, casto s dopredu pripravenymi odpovedami a miesat sem aj poistku... Odpovedať Známka: 3.3 Hodnotiť:

Re: Zranitelnosti Od: ffdf | Pridané: 13.12.2021 14:02 Samozrejme!!! Sú o 30 rokov starší!!! :-)) Odpovedať Známka: 10.0 Hodnotiť:

Re: Zranitelnosti Od: kedysi bulo sicko lepsi | Pridané: 13.12.2021 11:12 Mozem potvrdit, v mojej T602 sa doteraz ziadne zranitelnosti nenasli Odpovedať Známka: 8.8 Hodnotiť:

Re: Zranitelnosti Od: Asdf3 | Pridané: 13.12.2021 11:49 A hladal niekto? :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Zranitelnosti Od: ffdf | Pridané: 13.12.2021 14:03 Nedá sa...má ju v 286-tke v pivnici na 40 MB HDD :-)) Odpovedať Známka: 10.0 Hodnotiť:

Re: Zranitelnosti Od: cmake -G "Ninja" | Pridané: 13.12.2021 11:50 Ale to nie su ziadne dni prace. Integracia balika / kniznice do systemu, studovanie dokumentacie a skusanie roznych optionov casto zaberie viac casu, ako napisanie si vlastneho maleho rychleho custom kodu. Casto ti staci jedna mala funkcia pripadne objekt, namiesto balika s X zavislostami. Ale hlavny bonus vlastneho kodu byva v efektivite, samozrejme obcas sa hodi pouzit aj balicek, ale dobry programator by sa mal vediet rozhodnut kedy je na case napisat vlastny kod a kedy pouzit balik... https://en.wikipedia.org/wiki/KISS_principle je spravna cesta Odpovedať Známka: -4.3 Hodnotiť:

Na zranitelnosti doplati zakaznik Od: anonymous2743 | Pridané: 13.12.2021 11:49 Nie co najmenej namahy, ale aby to bolo cim skor a cim lacnejsie. Je to presne z toho isteho dovodu preco sa ti cinske topanky rozpadnu do par mesiacov, preco sa potraviny dnes rychlejsie kazia (ak uz nie su pokazene v predajni), ... Manazment sa snazil 'optimalizovat naklady' vzdy. Kedysi sa musel clovek dohadovat o odhadoch ako dlho mu co bude trvat, dnes to maju prespekulovanejsie, cez 'agilne' metody sa vyvynie tlak na programatorov aby boli stale v strese. Vysledok: nie je dost casu na refactoring, testovanie a odladovanie. A to samozrejme ak nemas to 'stastie' ze si v korporate, a nejaky debilny manazer sa rozhodne vydat von software o ktorom mu programatori hovoria ze este nie je hotovy, lebo musime predsa predbehnut konkurenciu ... Odpovedať Známka: 8.0 Hodnotiť:

Re: Zranitelnosti Od: lolo123 | Pridané: 13.12.2021 12:26 povedal niekto, kto v zivote nic nenaprogramoval ;) Odpovedať Známka: 7.8 Hodnotiť:

Re: Zranitelnosti Od: Pravy_Bozzz | Pridané: 13.12.2021 14:10 Dneska uz poriadny programator ani neexistuje a je ich ako safranu. Vacsina z nich su uz len nasamponovani bradaci s macbookmi, ktori si bez stackoverflow nevedia ani instalovat python. Maju plne usta reci ako mas byt agilny, thinking outside the box a podobne. Odpovedať Známka: -2.9 Hodnotiť:

Re: Zranitelnosti Od: Twixie_ | Pridané: 13.12.2021 14:57 Sa tu ondíte ako keby tá knižnica bola nejaká random neznáma knižnica od ferka z vedlajšej dediny. Ale log4j2 je velmi známa, rozšírená a spravovaná Apache Software Foundation. Je to state of the art logovací framework, ktorý dokáže s nízkym overheadom logovať multithread aplikácie asynchrónne a bez mutexov. Toto je samozrejme obrovský fuckup ale povedať, že "programátori dneska nič neladia" pri takejto knižnici je absolútne mimo, pretože tu toho ladenia prebiehajú mraky https://logging.apache.org/ log4j/2.x/manual/async.html Odpovedať Známka: 10.0 Hodnotiť:

Re: Zranitelnosti Od: cecek | Pridané: 13.12.2021 17:21 To tu miestnym expertom co pisu v strojaku programy na ovladanie ziarovky nevysvetlis:D Odpovedať Známka: 7.1 Hodnotiť:

ultraradikalny objasňovačizmus Od: syntaxterrorXXX,. X | Pridané: 13.12.2021 20:00 logovací framework... nízkym overheadom... asynchrónne... mutexov... kokotizmus bezbrehých logovacích orgií priekazne nepokryte symbolizuje nekonečný oceán.,, Odpovedať Známka: 1.1 Hodnotiť:

Re: ultraradikalny objasňovačizmus Od reg.: MackoPu1 | Pridané: 14.12.2021 6:46 Staci zacat debugovat silno paralelny soft pouzivany napriklad na triedenie a vtedy je dobry aj flajster z leukoplastu. To je samozrejme pisane v c. Odpovedať Hodnotiť:

ničivý prakticizmus S04E57 Od: syntaxterrorXXX,. X | Pridané: 14.12.2021 7:36 Keď treba zacat silno debugovat na produkcii, tak je i vážna zraniteľnosť priekazne najmenší problém. Odpovedať Známka: 10.0 Hodnotiť:

Re: Zranitelnosti Od: sorosova ovca | Pridané: 13.12.2021 17:03 To znie zaujímavo, povedz nám o tom viac. Ty musíš mať prehľad. Odpovedať Známka: 0.0 Hodnotiť:

Re: Zranitelnosti Od: Opwer | Pridané: 14.12.2021 14:12 Milujem, ked sa lalovia ako ty vyjadruju k veciam, o ktorych hovno vedia. Odpovedať Známka: 10.0 Hodnotiť:

Re: Zranitelnosti Od: ffdf | Pridané: 14.12.2021 14:57 Hlavne že to má nízky overhead a je to bez mutexov!!! :-) Odpovedať Hodnotiť:

Titulok Od: Hakuna Comeback | Pridané: 13.12.2021 12:27 "ak sa logujú aj informácie zvolené útočníkom" tak im tam bude utocnik logovat emoji a ascii art. no uplna katastrofa. co sa moze najhorsie stat? zahltia im logovaci backend? no boze. koniec sveta. Odpovedať Známka: -10.0 Hodnotiť:

Re: Titulok Od: sensei-san | Pridané: 13.12.2021 13:08 Ak tomu dobre rozumiem, tak log4j 2.x umožňuje takú vec, že logovací systém si počas runtime-u dotiahne triedu zvonku (napr. po sieti) a spustí ju. A nejak moc nekontroluje, aká trieda to je. A tá trieda potom už môže čokoľvek. Takže nejde len o ascii art a emoji. Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok Od: Hakuna Comeback | Pridané: 13.12.2021 14:28 mrkol som na to a zda sa ze java naozaj ma takuto funkcionalitu ze si vie stiahnut kod vzidalene(nejedna sa o rpc ale asi o nieco ako skompilovany modul/plugin/..). v tomto pripade ked sa zaloguje link v specialnom tvare tak ta logovacia kniznica ten odkaz navstivi a ked je tam podvrhnuty kod tak to stiahne lokalne a spusti a tym je mozne ovladnut cely server. to mi pride naprosto sialene. ale je to len dalsi z dovodov preco som na javu za cely zivot nesiahol. Odpovedať Známka: 1.2 Hodnotiť:

Re: Titulok Od: Rado2 | Pridané: 13.12.2021 15:16 Java is new visual basic Odpovedať Známka: -2.5 Hodnotiť:

Re: Titulok Od: djdjd | Pridané: 13.12.2021 21:21 not rily Odpovedať Hodnotiť:

sales nebudet Od: CPT.obvijus | Pridané: 13.12.2021 15:19 no a co? Odpovedať Známka: -5.0 Hodnotiť:

minecraft uber alles Od: hagy | Pridané: 13.12.2021 21:38 v minecrafte? to som potreboval pocut Odpovedať Známka: 10.0 Hodnotiť:

Slávna kniznica Od: Iwk | Pridané: 14.12.2021 8:58 Kdesi na Twitter som videl obrázok, že túto slávnu knižnicu ma na starosť jeden človek, ktorý sa jej venuje vo svojom voľnom čase. Odpovedať Hodnotiť:

vzduch Od: johan_12349484 | Pridané: 15.12.2021 10:19 zavzdušnujete sa tu kvôli chybičke v Log4j, ale že polovica enterprise appiek nepoužíva správne SSL vás nezaujíma... self-signed certifikáty a povypínané validácie.... Odpovedať Hodnotiť:

Re: vzduch Od: Dvdssc | Pridané: 15.12.2021 14:28 V enterprise aplikáciách to ma jednoduchý dôvod. Vo firmách sú pozavádzané kadejaké MITM proxy, ktoré majú drzosť nanútiť vlastnú CA aby sa IT admini cítili ako majstri sveta. Takze vo výsledku sa vypína overovanie CA aby všetko aspoň nejako fungovalo. Odpovedať Hodnotiť:

Re: vzduch Od: johan_12349484 | Pridané: 16.12.2021 10:10 az dokym sa to nenasadi u zakaznika, kde nad tym maju kontrolu ini majstri sveta, ze ano? :) Odpovedať Hodnotiť:

Pridať komentár