Log4j: уязвимость, о которой все говорят

log4j

Наверняка вы уже что-то читали или видели в социальных сетях. Лог4дж Это не сама уязвимость, а название библиотеки с открытым исходным кодом, разработанной на Java (она также была написана на других языках, таких как Ruby, C, C ++, Python и т. Д.) Apache Software Foundation. . Благодаря этому разработчики программного обеспечения могут реализовывать сообщения журнала транзакций во время выполнения на различных уровнях важности.

La уязвимость CVE-2021-44228 недавно выпущенная версия затрагивает Apache Log4j 2.x. Уязвимость получила название Log4Shell или LogJam, и она была обнаружена 9 декабря инженером по кибербезопасности, который называет себя p0rz9 сети. Этот эксперт также опубликовал репозиторий на Github об этой дыре в безопасности.

Эта уязвимость Log4j позволяет использовать неправильную проверку входных данных для LDAP, что позволяет удаленное выполнение кода (RCE) и компрометация сервера (конфиденциальность, целостность данных и доступность системы). Кроме того, проблема или важность этой уязвимости заключается в количестве приложений и серверов, которые ее используют, включая программное обеспечение для бизнеса и облачные сервисы, такие как Apple iCloud, Steam или популярные видеоигры, такие как Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash и многие другие.

Учитывая простота эксплуатации и критически важных систем, которые его используют, многие киберпреступники могут использовать его для распространения своих программ-вымогателей. В то время как другие пытаются придумать решения, как Флориан Рот из Nextron Systems, который поделился некоторыми Правила YARA для обнаружения попыток использования уязвимости Log4j.

Apache Foundation также быстро исправила это, выпустив патч для этой уязвимости. Поэтому жизненно важно Важность обновления до Log4j версии 2.15.0 сейчас., если у вас есть затронутый сервер или система. Для получения дополнительной информации о том, как это сделать, вы можете посетить этот ссылка для скачивания и с информацией об этом.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.