Nagyon súlyos távoli kódfuttatás sérülékenység a log4j-ben

HUP cikkturkáló

Néhány napja felfedeztek egy sérülékenységet az egyik legelterjedtebb Javás loggoló könyvtárban, az Apache log4j-ben. Ha egy érintett Java alkalmazás loggol egy támadótól kapott bizonyos stringet, akkor a keretrendszer szépen letölt egy bármilyen távoli helyről egy class fájlt és végrehajtja. CVE-2021-44228 az azonosítója, a legnagyobb 10.0-ás CVSS értéket kapta. Bárki érintett lehet, aki Java alkalmazásokat futtat. Hivatalos infó: https://logging.apache.org/log4j/2.x/security.html. Kicsit részletesebb elemzés: https://snyk.io/blog/log4j-rce-log4shell-vulnerability-cve-2021-4428/.

  • 2089 megtekintés

( dotnetlinux | 2021. 12. 11., szo – 13:57 )

Minecraft miatt talaltak meg, +1 oda. 

( ricsip v | 2021. 12. 13., h – 08:59 )

Szerkesztve: 2021. 12. 13., h – 09:02

Szar dolog amerikai munkaadónál IT szekuriti beosztásban lenni. Azokat most mind dolgoztatták a gazdáik egész hétvégén (kevés nolifer IT szekus írta twitteren h. pusztán szakmabuzulásból vidáman dolgozta át a 48 órát a mostani hétvégén). Dehát usa-ban kolbászból van a kerítés, ugye?