Oprava vážnej zraniteľnosti v Log4j nebola úplná, vydaná ďalšia verzia

Značky: bezpečnosťJava

DSL.sk, 15.12.2021

Oprava veľmi vážnej zraniteľnosti v rozšírenej Java knižnici Apache Log4j používanej pre logovanie nebola úplná a The Apache Software Foundation vydala ďalšiu novú opravenú verziu Log4j 2.16.0.

Kým pôvodná zraniteľnosť CVE-2021-44228 s označením Log4Shell umožňuje spustenie útočníkom zvoleného kódu v štandardnej konfigurácii, nová identifikovaná zraniteľnosť CVE-2021-45046 prítomná aj vo verzii Log4j 2.15.0 umožňuje podľa tvorcov DoS, Denial-of-Service, útok v niektorých neštandardných konfiguráciách.

V novej opravenej verzii 2.16.0 tvorcovia úplne odstránili podporu vyhľadávania a nahrádzania dát v logovaných správach, štandardne túto podporu zakázali v konfigurácii, štandardne zakázali použitie JNDI, obmedzili protokoly použiteľné s JNDI, LDAP protokoly môžu pristupovať iba k tzv. primitívnym Java objektom a kontaktovanie iných serverov je potrebné povoliť.

Zároveň okrem vydania novej verzie tvorcovia zmenili odporúčanie ako zabrániť zneužitiu zraniteľnosti v skorších zraniteľných verziách knižnice. Plne zabrániť zneužitiu je možné len odstránením triedy JdniLookup z knižnice, predchádzajúce odporúčania zmeny konfigurácie nie sú dostatočné.

Zraniteľnosť Log4Shell umožňuje útočníkovi stiahnuť a spustiť zvolený kód z LDAP servera alebo iného JNDI zdroja pod jeho kontrolou cez syntax ${}, ak sa logujú aj informácie zvolené útočníkom. Tým môže získať kontrolu nad zraniteľným serverom alebo zariadením.

Podľa bližších informácií The Apache Software Foundation sa zraniteľnosť nachádza vo verziách 2.0-beta9 až 2.14.1.

Zraniteľnosť bola zverejnená na konci uplynulého týždňa, služba Cloudflare zaznamenala prvý exploit ale už 1. decembra. Masové zneužívanie odštartovalo podľa služby až po zverejnení zraniteľnosti. Podľa informácií viacerých bezpečnostných spoločností útoky zneužívajú zraniteľnosť okrem iného na inštalovanie rozličného malvéru.

Knižnica sa používa a zraniteľnosť sa tak nachádza okrem iného vo veľkom množstve enterprise softvérov aj viacerých cloudových službách.




Najnovšie články:



Diskusia:

ultraradikalny konsenzualizmus Od: syntaxterrorXXX,. X | Pridané: 15.12.2021 12:49 Zaviesť rovnakú filozofiu opravovania v zdravotníctve, preplácajú poisťovne výkony priekazne len od amputácie. Odpovedať Známka: -2.6 Hodnotiť:

Re: ultraradikalny konsenzualizmus Od: 42rwfds | Pridané: 15.12.2021 13:21 poistovne aj tak nepreplacaju co by mali a vytacaju sa co najviac Odpovedať Známka: 8.7 Hodnotiť:

Re: ultraradikalny konsenzualizmus Od: samajama | Pridané: 15.12.2021 14:32 A nie je priekazne prave to ucelom poistovne? Odpovedať Známka: -2.5 Hodnotiť:

Re: ultraradikalny konsenzualizmus Od: 56rtyg | Pridané: 15.12.2021 16:19 z pohladu tvorenia zisku priekazne ano z pohladu zdravia priekazne nie Odpovedať Známka: 7.3 Hodnotiť:

Re: ultraradikalny konsenzualizmus Od: syntaxterrorXXX,. X | Pridané: 15.12.2021 17:11 S tým je popri súznení možné len priekazne nesúhlasiť. Odpovedať Známka: 2.0 Hodnotiť:

Re: ultraradikalny konsenzualizmus Od: MirecU-II | Pridané: 16.12.2021 6:23 Otazka je, z coho vytvaraju zisk... z nasich dani? Poskytuju nejaku pridanu hodnotu, za ktoru by si zasluzili ohodnotit? Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár