Кому и для чего сегодня необходимы виртуальные криптообменники 
Немного БТР с СВО 
Чей stock market? 
Латам-2025: по тропе инков к Мачу-Пикчу - фотоподборка. 
Таиланд отметил Новый год водным фестивалем Сонгкран 
Истинный советский святой выступает образцом патриотизма здорового человека 
День книги 
Юбиляр дня Элизабет Виже-Лебрён 
Среда
19.11.2021 —
Совсем простая загадка
CVE-2021-44228
klink0v — 11.12.2021
Вы уже, наверное, прочитали про CVE-2021-44228. Если нет, вот толковые ссылки.
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
Если вы далеки от мира Javaписи, то вкратце суть там вот в чём.
Есть такая Java-библиотека под названием "Log4J2", которую используют чуть менее чем все, т.к. это де-факто стандарт логирования в мире Java. В этой библиотечке нашли волшебную дырку: если послать на сервер неважно что, содержащее определенного вида строчку, и эта строчка попадет в лог посредством log4j2, то библиотека при определенных условиях сама сходит на вражеский LDAP-сервер и выполнит программный код, который тот ей отдаст.
То есть уязвимость позволяет удалённо выполнить на вашей системе в Java-машине произвольный код. И эксплойт под это дело очень простой. Подвержена ли ваша машина или нет можно узнать, вернув значение встроенной системной переменной Java
System.getProperty("com.sun.jndi.ldap.object.trustURLCodebase")
Если оно true, то поздравляю, Шарик, ты балбес. И что самое неприятное, в каких-то версиях Java оно по умолчанию выставлено в false, а в каких-то true. Но полагаться исключительно на значение по умолчанию, оно такое себе...
С одной стороны, хочется позлорадствовать. Наверняка через эту дырку поломают кучу разных организаций, у которых в числе прочего имеется раздутый штат абсолютно бесполезных "безопасников". С другой стороны, 90% софта, который я сам прямо сейчас по долгу службы так или иначе поддерживаю — Javaписьный. Неприятно-с...
Берегите свои задницы, своевременно обновляйте Java и log4j2. Дырку эту заткнули только в Log4j2 2.15.0-rc2.
Сохранено
|
|
</> |
CVE-2021-44228
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
Архив записей в блогах:
Первая новость - кажется, наша Алиша беремчик! :)) Я пыталась прощупать ее животик, чтоб почувствовать шевеления, "осмотр гинеколога", так сказать :))) И мне кажется, что там кто-то живет! :)))) И если я права, то в начале ноября нам ждать прибавления :))) А пока кормим ее вкусняшками, ...
К сожалению, затирка швов не последний этап в установке плитки , предстоит еще нудная уборка излишек раствора и разводов. В статье мастер сантехник расскажет, как ...
уйду я от ...
Спикер Совета Федерации Валентина Матвиенко на заседании палаты выразила мнение о направлении «опорочивших себя» деятелей культуры на Донбасс для исправления и покаяния.
— Я знаю ...
Проникновение высоких технологий в нашу жизнь настолько велико, что даже животные в некоторых семьях уже начали играть в компьютерные игры. Все благодаря простому игровому интерфейсу, управлению геймплеем и фантазии владельцев. Особенно ...
