neprihlásený Sobota, 23. novembra 2024, dnes má meniny Klement
V Log4j ďalšia bezpečnostná zraniteľnosť

Značky: bezpečnosťJava

DSL.sk, 29.12.2021


V rozšírenej Java knižnici Apache Log4j používanej pre logovanie bola identifikovaná v krátkom čase ďalšia bezpečnostná zraniteľnosť a The Apache Software Foundation vydala ďalšiu novú opravenú verziu Log4j 2.17.1.

V knižnici Log4j bola v prvej polovici mesiaca zverejnená veľmi vážna zraniteľnosť CVE-2021-44228 s označením Log4Shell, ktorá v štandardnej konfigurácii umožňuje útočníkovi stiahnuť a spustiť zvolený kód z LDAP servera alebo iného JNDI zdroja pod jeho kontrolou cez syntax ${}, ak sa logujú aj informácie zvolené útočníkom. Tým môže získať kontrolu nad zraniteľným serverom alebo zariadením a zraniteľnosť má maximálne základné CVSS skóre 10.0.

Oprava vo verzii 2.15.0 ale nebola úplná a identifikovaná bola ďalšia zraniteľnosť CVE-2021-45046, ktorá mala podľa pôvodných informácií tvorcov umožňovať iba DoS, Denial-of-Service, útok. Podľa aktualizovaných informácií umožňuje v niektorých prostrediach ale vzdialené spustenie kódu a v ostatných lokálne spustenie kódu, závažnosť zraniteľnosti tak bola výrazne zvýšená na kritickú zraniteľnosť s CVSS skóre 9.0.

V opravenej verzii 2.16.0 bola identifikovaná ale ďalšia zraniteľnosť CVE-2021-45105, ktorá v niektorých neštandardných konfiguráciách môže viesť k nekontrolovanej rekurzii a podľa The Apache Software Foundation umožňuje DoS útok. Zraniteľnosť má CVSS skóre 7.5.

V opravenej verzii 2.17.0 sa ale nachádza ďalšia zraniteľnosť CVE-2021-44832. Zraniteľnosť má z týchto štyroch zraniteľností najnižšiu závažnosť 6.6 a vyžaduje, aby útočník mohol meniť konfiguračný súbor. Následne môže pomocou JNDI stiahnuť a spustiť zvolený kód.

Zraniteľnosť bola opravená v novej verzii Log4j 2.17.1 a tiež aktualizovaných verziách 2.12.4 a 2.3.2 pre nižšie verzie Javy, bližšie informácie o zraniteľnosti je možné nájsť na stránke The Apache Software Foundation.

      Zdieľaj na Twitteri



Najnovšie články:

Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci


inzercia



Diskusia:
                               
 
Horsie nez zle
Od: syntaxterror3000 | Pridané: 29.12.2021 10:28

Toto je vysledok toho ze do open source prispievaju nekvalitni programatori.
Odpovedať Známka: -6.8 Hodnotiť:
 
ultraradikalny optimalizatorizmus
Od: syntaxterrorXXX,. X | Pridané: 29.12.2021 10:44

Prdlajs. Že logovanie sa nevyvíja popri debugovaní, ale sa dodatočnr outsourcuje generické, je priekazne čisto odfláknutie tailoringu na strane projektového riadenia.
Odpovedať Známka: 1.7 Hodnotiť:
 
Re: Horsie nez zle
Od: hhhhhffff | Pridané: 29.12.2021 10:48

tak už viem, prečo naše štátne IT je také zabugované...
Odpovedať Známka: 1.4 Hodnotiť:
 
Re: Horsie nez zle
Od: ujo honorar | Pridané: 29.12.2021 18:28

A ty si vypolstrovana kurva... vies hovno
Odpovedať Známka: -3.3 Hodnotiť:
 
Re: Horsie nez zle
Od reg.: MackoPu1 | Pridané: 29.12.2021 11:53

Praveze vyrobit backdoor v open kode je o dost vacsi skill ako niekde v privatnom...
Odpovedať Známka: 6.7 Hodnotiť:
 
Re: Horsie nez zle
Od: Určite je to tak | Pridané: 29.12.2021 17:08

jasné... a koľko zdrojových kódov open source programov, ktoré používaš si si aj skontroloval? výhoda takýchto programov, čo sa týka bezpečnosti, je len taká teoretická... reálne tie kódy nikto neskúma, pokiaľ sa nenudí alebo to nie je náplň jeho práce... ale kľudne môžeš žiť v predstave, že každý jeden zdrojový kód, ktorý je na githube denne skúma množstvo odborníkov a preto je ich používanie absolútne bezpečné...
Odpovedať Známka: 1.7 Hodnotiť:
 
ultraumiernený prakticizmus
Od: syntaxterrorXXX,. X | Pridané: 29.12.2021 21:20

Veď ale to nie je o dost vacsi skill preto, lebo to niekto kontroluje, ale že v ňom priekazne taký bordel.
Odpovedať Známka: 3.3 Hodnotiť:
 
Re: Horsie nez zle
Od: dziny1 | Pridané: 29.12.2021 12:41

Deje sa iba to, ze sa na tento kod teraz pozera ovela viac oci ako predtym a prirodzene sa tak odhalia chyby o ktorych sa nevedelo. Ta prva chyba na Log4j kniznicu pritiahla pozornost, tak ako predtym pre par rokmi na openssl kde tiez sa "zrazu" odhalilo kopec chyb po najdeni prvej zranitelnosti. Predpokladam, ze podobne vela chyb sa nachadza v dalsich knizniciach iba na ne zatial neprislo...
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: Horsie nez zle
Od: huanggg | Pridané: 29.12.2021 17:51

prislo sa na ne, ale pouziva ich iba uzka skupinka ludi, ked najdu nieco lepsie, zverejnia zranitelnost
Odpovedať Známka: 0.0 Hodnotiť:
 
Re: Horsie nez zle
Od: janko zygelitki. | Pridané: 29.12.2021 23:57

predpokladam, ze take lobogo ako ty dokaze svoje tvrdenia aj riadne podlozit, snad len netrepes 2 na 3?
Odpovedať Hodnotiť:
 
open programéři všech zemí veľký ruľez
Od: Nový rok | Pridané: 29.12.2021 19:49

Ďakujeme a tlieskame
Odpovedať Hodnotiť:
 
spravni vyvojari
Od: mmxxx | Pridané: 29.12.2021 21:08

Spravni vyvojari, zo starej skoly pouzivaju log4j 1.2 a su za vodou.
Odpovedať Známka: 10.0 Hodnotiť:
 
open open open source
Od: uganda | Pridané: 30.12.2021 6:59

jasne a Ty si kolko open source kodov skontroloval ked mudrujes,.
Odpovedať Hodnotiť:

Pridať komentár