neprihlásený Pondelok, 19. januára 2026, dnes má meniny Drahomíra, Mário, Sára
Oprava vážnej zraniteľnosti v Log4j nebola úplná, vydaná ďalšia verzia

Značky: bezpečnosťJava

DSL.sk, 15.12.2021


Oprava veľmi vážnej zraniteľnosti v rozšírenej Java knižnici Apache Log4j používanej pre logovanie nebola úplná a The Apache Software Foundation vydala ďalšiu novú opravenú verziu Log4j 2.16.0.

Kým pôvodná zraniteľnosť CVE-2021-44228 s označením Log4Shell umožňuje spustenie útočníkom zvoleného kódu v štandardnej konfigurácii, nová identifikovaná zraniteľnosť CVE-2021-45046 prítomná aj vo verzii Log4j 2.15.0 umožňuje podľa tvorcov DoS, Denial-of-Service, útok v niektorých neštandardných konfiguráciách.

V novej opravenej verzii 2.16.0 tvorcovia úplne odstránili podporu vyhľadávania a nahrádzania dát v logovaných správach, štandardne túto podporu zakázali v konfigurácii, štandardne zakázali použitie JNDI, obmedzili protokoly použiteľné s JNDI, LDAP protokoly môžu pristupovať iba k tzv. primitívnym Java objektom a kontaktovanie iných serverov je potrebné povoliť.

Zároveň okrem vydania novej verzie tvorcovia zmenili odporúčanie ako zabrániť zneužitiu zraniteľnosti v skorších zraniteľných verziách knižnice. Plne zabrániť zneužitiu je možné len odstránením triedy JdniLookup z knižnice, predchádzajúce odporúčania zmeny konfigurácie nie sú dostatočné.

Zraniteľnosť Log4Shell umožňuje útočníkovi stiahnuť a spustiť zvolený kód z LDAP servera alebo iného JNDI zdroja pod jeho kontrolou cez syntax ${}, ak sa logujú aj informácie zvolené útočníkom. Tým môže získať kontrolu nad zraniteľným serverom alebo zariadením.

Podľa bližších informácií The Apache Software Foundation sa zraniteľnosť nachádza vo verziách 2.0-beta9 až 2.14.1.

Zraniteľnosť bola zverejnená na konci uplynulého týždňa, služba Cloudflare zaznamenala prvý exploit ale už 1. decembra. Masové zneužívanie odštartovalo podľa služby až po zverejnení zraniteľnosti. Podľa informácií viacerých bezpečnostných spoločností útoky zneužívajú zraniteľnosť okrem iného na inštalovanie rozličného malvéru.

Knižnica sa používa a zraniteľnosť sa tak nachádza okrem iného vo veľkom množstve enterprise softvérov aj viacerých cloudových službách.


Najnovšie články:

Let’s Encrypt začala vydávať iba 6-dňové certifikáty a certifikáty pre IP adresy
Záchrana sondy pri Marse je podľa NASA nepravdepodobná
Windows 11 sa po najnovšej aktualizácii nedá vypnúť
Slovensko.sk vyplo pre schránky notifikácie cez IMAP / POP3
MV bude mať dva výpadky, v sobotu sa dotkne eID a v pondelok oddelení dokladov
Starlink výrazne zlepšil mobilný program Roam
Odštartoval úplne nový pomerne zvláštny Star Trek seriál
Slovenské školstvo majúce problémy s kvalitou nakúpilo pre budúcich učiteľov tisícky licencií ChatGPT
Uvedený výkonnejší AI akcelerátor pre Raspberry Pi
Misia NASA sa úspešne predčasne vrátila z ISS


Diskusia:
                               
 
ultraradikalny konsenzualizmus
Od: syntaxterrorXXX,. X | Pridané: 15.12.2021 12:49

Zaviesť rovnakú filozofiu opravovania v zdravotníctve, preplácajú poisťovne výkony priekazne len od amputácie.
Odpovedať Známka: -2.6 Hodnotiť:
 
Re: ultraradikalny konsenzualizmus
Od: 42rwfds | Pridané: 15.12.2021 13:21

poistovne aj tak nepreplacaju co by mali a vytacaju sa co najviac
Odpovedať Známka: 8.7 Hodnotiť:
 
Re: ultraradikalny konsenzualizmus
Od: samajama | Pridané: 15.12.2021 14:32

A nie je priekazne prave to ucelom poistovne?
Odpovedať Známka: -2.5 Hodnotiť:
 
Re: ultraradikalny konsenzualizmus
Od: 56rtyg | Pridané: 15.12.2021 16:19

z pohladu tvorenia zisku priekazne ano
z pohladu zdravia priekazne nie
Odpovedať Známka: 7.3 Hodnotiť:
 
Re: ultraradikalny konsenzualizmus
Od: syntaxterrorXXX,. X | Pridané: 15.12.2021 17:11

S tým je popri súznení možné len priekazne nesúhlasiť.
Odpovedať Známka: 2.0 Hodnotiť:
 
Re: ultraradikalny konsenzualizmus
Od: MirecU-II | Pridané: 16.12.2021 6:23

Otazka je, z coho vytvaraju zisk... z nasich dani? Poskytuju nejaku pridanu hodnotu, za ktoru by si zasluzili ohodnotit?
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár