Biztosan már olvasott valamit, vagy látott valamit a közösségi hálózatokon. log4j Ez nem maga a sebezhetőség, hanem egy Java nyelven kifejlesztett nyílt forráskódú könyvtár neve (más nyelveken is írták, például Ruby, C, C ++, Python stb.) az Apache Software Foundation által. . Ennek köszönhetően a szoftverfejlesztők futás közben, különböző fontossági szinteken tudják megvalósítani a tranzakciós naplóüzeneteket.
La sebezhetőség CVE-2021 44228- amely nemrégiben megjelent, az Apache Log4j 2.x-et érinti. A sérülékenységet Log4Shellnek vagy LogJamnak hívták, és december 9-én fedezte fel egy magát kiberbiztonsági mérnök. p0rz9 hálózatépítés. Ez a szakértő közzé is tette a tárház a Githubon erről a biztonsági résről.
A Log4j ezen biztonsági rése lehetővé teszi az LDAP hibás bemeneti ellenőrzésének kihasználását, távoli kódvégrehajtás (RCE), és veszélyezteti a szervert (bizalmasság, adatintegritás és a rendszer rendelkezésre állása). Ezenkívül a biztonsági rés problémája vagy jelentősége az azt használó alkalmazások és szerverek számában rejlik, beleértve az üzleti szoftvereket és a felhőszolgáltatásokat, mint például az Apple iCloud, a Steam, vagy a népszerű videojátékokat, mint például a Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash és egy hosszú stb.
Tekintettel a könnyű kezelhetőség és az azt használó kritikus rendszereket, sok kiberbűnöző valószínűleg kihasználja zsarolóprogramjaik terjesztésére. Míg mások megpróbálnak megoldásokat találni, például Florian Roth, a Nextron Systems-től, aki megosztott néhányat A YARA szabályokat a Log4j biztonsági résének kihasználására tett kísérletek észlelésére.
Az Apache Foundation is gyorsan kijavította, és kiadott egy javítást a sérülékenységre. Ezért létfontosságú Fontos, hogy most frissítsen a Log4j 2.15.0-s verziójára., ha érintett szervere vagy rendszere van. További információért, hogyan kell ezt megtenni, látogassa meg ezt letöltési link és az ezzel kapcsolatos információkkal.