Zraniteľnú knižnicu Log4j využíva aj helikoptéra na Marse

Značky: bezpečnosťJavaMarsNASA

DSL.sk, 16.12.2021

Širokú používanosť Java knižnice Log4j určenej pre logovanie, v ktorej bola aktuálne identifikovaná veľmi vážna bezpečnostná zraniteľnosť, dokumentuje aj informácia o jej využívaní misiou dronu Ingenuity Mars Helicopter americkej vesmírnej agentúry NASA.

Organizácia The Apache Software Foundation stojaca za knižnicou sa jej použitím v tejto misii pochválila v júni po viacerých úspešných letoch dronu na Marse.

Zo stručnej informácie nie je ale jasné, či je knižnica použitá priamo v drone, v softvéri na robotickom vozidle Perseverance komunikujúcom s dronom alebo v softvéri využívanom pre túto misiu agentúrou NASA na Zemi.

Zároveň nie je jasné, do akej miery sú systémy misie aj na Zemi izolované od verejného Internetu a rozličných častí NASA a kto všetko má prístup k týmto systémom potenciálne umožňujúci zraniteľnosť zneužiť.

Zraniteľnosť Log4Shell v knižnici Log4j umožňuje útočníkovi stiahnuť a spustiť zvolený kód z LDAP servera alebo iného JNDI zdroja pod jeho kontrolou cez syntax ${}, ak sa logujú aj informácie zvolené útočníkom. Tým môže získať kontrolu nad zraniteľným serverom alebo zariadením.

Knižnica Log4j sa používa a zraniteľnosť sa tak nachádza okrem iného vo veľkom množstve enterprise softvérov aj viacerých cloudových službách.

Zraniteľnosť Log4Shell a ďalšia nová podobná zraniteľnosť s menšou závažnosťou boli plne opravené v poslednej verzii knižnice Log4j 2.16.0. Bližšie informácie sme priniesli v tomto článku.




Najnovšie články:



Diskusia:

Veru veru Od: Lues de Funes | Pridané: 16.12.2021 10:17 Veru, veru, na mňa vrtuľníček pôsobil vždy tak trochu zraniteľne Odpovedať Známka: 9.1 Hodnotiť:

Re: Veru veru Od: liliputin | Pridané: 16.12.2021 10:30 niekto im ho tam ovladne a ukradne :-) Odpovedať Známka: 8.6 Hodnotiť:

Re: Veru veru Od: spoo | Pridané: 16.12.2021 17:30 holt Hubble spustali 2 mesiace... Odpovedať Hodnotiť:

All your base are belong to us Od: ayy | Pridané: 16.12.2021 10:18 čas uhačkovať NASA a ovlnádnuť mars. Odpovedať Známka: 8.7 Hodnotiť:

ultraradikalny optimalizatorizmus Od: syntaxterrorXXX,. X | Pridané: 16.12.2021 10:26 Tak hlavne že nezvláda uukladať snímky pre primárne systémy, ale logovanie priekazne zoptimalizované na úrovni robustnej chrbticovej cdn-ky. Odpovedať Známka: 3.3 Hodnotiť:

Re: ultraradikalny optimalizatorizmus Od reg.: miggg | Pridané: 17.12.2021 9:32 Naco obrazky, ked ma admin kvalitny log a dobru predstavivost... Odpovedať Hodnotiť:

helikoptera Od: PaloRup | Pridané: 16.12.2021 10:38 Wow, neviete niekto aku ma ta helikoptera IPcku? Odpovedať Známka: 9.0 Hodnotiť:

Re: helikoptera Od: Lues de Funes | Pridané: 16.12.2021 10:44 Len Boh vie, či má verejnú ... Odpovedať Známka: 8.7 Hodnotiť:

Re: helikoptera Od: Kingmax | Pridané: 16.12.2021 15:18 Marťanskú IPv8 Odpovedať Známka: 8.2 Hodnotiť:

Re: helikoptera Od: No Lives Matter | Pridané: 16.12.2021 16:23 Hada by na Marse postačilo aj IPv1 alebo povedzme IPv2, teda dostatok na pokrytie potrieb ľudstva na Marse na všetky zatiaľ predstaviteľné účely ;) Odpovedať Známka: 8.2 Hodnotiť:

Re: helikoptera Od: Jetro. | Pridané: 16.12.2021 18:10 Neviem prečo sa prijal už vtedy starý IPv6 protokol... Odpovedať Známka: 2.0 Hodnotiť:

ultraradikalny konsenzualizmus Od: syntaxterrorXXX,. X | Pridané: 16.12.2021 19:01 Hada možno aj hej, ale na dvoch hadov je to už priekazne málo. Odpovedať Známka: 3.3 Hodnotiť:

Re: helikoptera Od: Pravy_Bozzz | Pridané: 16.12.2021 16:04 185.65.25.33 --- prihlasovacie meno: admin ---- heslo: dron123 Odpovedať Známka: 7.5 Hodnotiť:

Re: helikoptera Od: No Lives Matter | Pridané: 16.12.2021 17:03 Skôr 178.238.38.94 "admin" "dslsk007" Odpovedať Známka: 7.1 Hodnotiť:

Re: helikoptera Od: _admin_ | Pridané: 16.12.2021 17:57 dik.. som si nevedel spomenut Odpovedať Známka: 7.1 Hodnotiť:

Re: helikoptera Od: mrkale | Pridané: 16.12.2021 17:46 Nie, nie. IP 666.666.666.666 Odpovedať Hodnotiť:

Re: helikoptera Od: lojzika | Pridané: 16.12.2021 19:13 to ma nejaký martansky range ... Odpovedať Hodnotiť:

Re: helikoptera Od: Lues de Funes | Pridané: 16.12.2021 21:54 Nie, nie - tie čísla sú úplne v poriadku. Na Marse je g priblizne 0.376g Zeme, takze to treba prepocitavat a brať v potaz: 250.250.250.250 Odpovedať Známka: 10.0 Hodnotiť:

ma ta helikoptera pristup na internet? Od: kidos | Pridané: 16.12.2021 10:49 uz vidim, ako si ta helikoptera stahuje skodlivy kod k sebe z internetu ;-) alebo mozno len z Perseverance jndi://perseverance/bad-code.class Odpovedať Známka: 8.0 Hodnotiť:

Titulok Od: Hakuna Comeback | Pridané: 16.12.2021 12:48 som dost v soku ze v 2021 sa na vesmirnych robotoch a zariadeniach pouziva java. to je dost katastrofa same o sebe a len to ukazuje ako vyvojari degradovali. pametam si ked boli vesmirne programy v plienkach tak sa vsetok kod vytlacil na papier a niekolko ludi prechadzalo manualne kazdy riadok a hladali chyby. taka uroven drobnohladu a standardov kvality kontroly je uz dnes ocividne iba scifi. Odpovedať Známka: 5.8 Hodnotiť:

Re: Titulok Od: pomocny osvetlovac | Pridané: 16.12.2021 14:04 co si budeme klamat https://hackaday.com/2016/05/02/ software-update-destroys- 286-million-japanese-satellite/ Odpovedať Známka: 6.0 Hodnotiť:

Re: Titulok Od: OriginalnyKoumak | Pridané: 16.12.2021 18:03 Asi si povedali, ze miesto zaplatenia par kvalitnych assembleristov, ktori by vytvorili kvalitny a rychly kod optimalizovany aj na slabe CPU, ich vyjde podstatne lacnejsie par skolakov co to nabastlia v jave a spol... :( Naposledy mi bola ochotna firma bez problemov zaplatit za ASM kod pre konkretne zariadenie v roku 2003 a od roku 2005 som uz hodil bobek na cele programovanie uplne, lebo prislo obdobie kedy uz aj low level uroven vsetci zacali bastlit v lepsom pripade na C++ a s pouzitim nespocet roznorodych kniznic :( Odpovedať Známka: 0.0 Hodnotiť:

Re: Titulok Od: dych vývin | Pridané: 18.12.2021 11:28 Takých frajerov ako si ty poznám niekoľko, stará škola, všetko vyššie od starého cčka je ble, vrátane c++. Akurát keď od nich chce človek, aby urobili čokoľvek zložitejšie od kalkulačky, ich kód sú nečitateľné špagetové sračky, ktorým po pol roku nerozumie ani on sám. A keď si ešte myslíš, že manuálne hľadanie chýb pod lupou je pri dnešných softvéroch tá správna cesta, to len dotvára obraz o tebe. Odpovedať Známka: 10.0 Hodnotiť:

;';'';''''';';;;;';' Od: arch_bastard | Pridané: 16.12.2021 12:56 hmm, mozno ta java nie je skarede nemotorne hovado ako sa zda z kazdej desktop java apky Odpovedať Známka: -2.0 Hodnotiť:

dnes má meniny Albína Od: Pravy_Bozzz | Pridané: 16.12.2021 14:15 No a co? Vari si myslia, ze niekto bude hackovat dron na marse? :D Odpovedať Známka: 0.0 Hodnotiť:

ultraradikalny konšpiratorizmus Od: syntaxterrorXXX,. X | Pridané: 16.12.2021 14:34 A prečo by ho inak schovávali za kopec? O tej zraniteľnosti jasne vedeli už priekazne celé dni pred zverejnením. Odpovedať Známka: 2.0 Hodnotiť:

Re: ultraradikalny hackorizmus Od reg.: ujo horar | Pridané: 16.12.2021 16:22 No schvalne, kto sa prvy nabura do toho vrtulnicka na marse a dokaze s nim spravit na marse looping? Odpovedať Známka: 10.0 Hodnotiť:

Je zaujimave ako sa na to pozeraju media Od: Fundaluka | Pridané: 16.12.2021 14:49 Log4j nie je zranitelna kniznica. Ma len funkciu ktra sa da v defaulte volat zo siete. Aktualizova verzia nerobi patch, len tuto funkciu prepina z povolenej na zakazanu v defaulte. Ak mate hardcoded pouzitie tejto funkcie, tak nova verzia tuto funkciu nevypne. Zhrnutie: ziadna zranitelnost, len nespravne nastaveny config :) Odpovedať Známka: 0.0 Hodnotiť:

Re: Je zaujimave ako sa na to pozeraju media Od: Dr. Greenthumb | Pridané: 16.12.2021 16:28 Vďaka za vysvetlenie. Ale podľa nadpisu to vyzerá tak, že hacknutá helikoptéra na Marse organizuje so Skynetom NWO na Zemi ;) Odpovedať Známka: 6.0 Hodnotiť:

Re: Je zaujimave ako sa na to pozeraju media Od: sheriff | Pridané: 16.12.2021 18:40 presnejsie je to tak, ze verzia 2.16.0 defaultne vypina JNDI, ALE zaroven uplne odstranuje podporu pre Message Lookups. Cize je tam AJ odstranenie funkcie. Odpovedať Hodnotiť:

Marťania Od: Xyrko | Pridané: 16.12.2021 17:55 Už helikopterkou marťania naháňajú a strašia marťanky :-) Odpovedať Hodnotiť:

v pici Od: lolgow volkov | Pridané: 16.12.2021 19:20 v pici... Odpovedať Hodnotiť:

Slf4j FWT Od reg.: gunko | Pridané: 19.12.2021 20:20 Slf4j FWT Odpovedať Hodnotiť:

Pridať komentár