Jump to content

Выпущен экстренный патч для критической уязвимости в Log4j


security147

Recommended Posts

Выпущен экстренный патч для критической уязвимости в Log4j

14:24 / 10 Декабря, 2021 2021-12-10T15:24:45+03:00

Alexander Antipov

Злоумышленники уже сканируют Сеть на предмет приложений, которые могут быть уязвимы к атакам Log4Shell.

https://www.securitylab.ru/upload/iblock/66d/66d6cf6d26d15d254323e8072a508c94.jpg

Организация Apache Software Foundation выпустила экстренное обновление безопасности, исправляющее уязвимость удаленного выполнения кода ( CVE-2021-44228 ) в библиотеке Java Log4j. Библиотека обеспечивает возможности ведения журналов.

Уязвимость, получившая название Log4Shell , может быть использована путем принуждения приложений и серверов на основе Java с библиотекой Log4j к регистрации определенной строки в своих внутренних системах. Когда приложение или сервер обрабатывают журналы, данная строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом хакеры могут перехватить контроль над приложением или сервером.

Уязвимость Log4Shell получила максимальную оценку в 10 баллов по шкале CVSSv3, поскольку ее можно использовать удаленно, и для выполнения кода не требуется особых технических навыков. Критическая опасность связана с повсеместным присутствием Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j включена почти во все корпоративные продукты, выпущенные Apache Software Foundation, такие как Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и пр. Другие проекты с открытым исходным кодом (Redis, ElasticSearch, Elastic Logstash, Ghidra от АНБ) также используют библиотеку в той или иной мере.

По словам экспертов из компании LunaSec, серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и, возможно, тысячи других компаний подвержены данной уязвимости.

Как сообщил китайский исследователь в области кибербезопасности, использующий псевдоним p0rz9 , эксплуатация CVE-2021-44228 возможна только в том случае, если для параметра log4j2.formatMsgNoLookups в конфигурации библиотеки задано значение false. В исправленной версии Log4j 2.15.0 для этого параметра установлено значение true, предотвращая атаки. Пользователи Log4j, которые обновились до версии 2.15.0, но затем установили для этого флага значение false, останутся уязвимыми к атакам. Точно так же пользователи старой версии Log4j с установленным флагом в значении true могут блокировать атаки.

По словам ИБ-экспертам, злоумышленники уже сканируют Сеть на предмет приложений, которые могут быть уязвимы к атакам Log4Shell.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...