Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Выпущен экстренный патч для критической уязвимости в Log4j

13/12/21

patchОрганизация Apache Software Foundation выпустила экстренное обновление безопасности, исправляющее уязвимость удаленного выполнения кода ( CVE-2021-44228 ) в библиотеке Java Log4j. Библиотека обеспечивает возможности ведения журналов.

Уязвимость, получившая название Log4Shell , может быть использована путем принуждения приложений и серверов на основе Java с библиотекой Log4j к регистрации определенной строки в своих внутренних системах. Когда приложение или сервер обрабатывают журналы, данная строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Таким образом хакеры могут перехватить контроль над приложением или сервером.

Уязвимость Log4Shell получила максимальную оценку в 10 баллов по шкале CVSSv3, поскольку ее можно использовать удаленно, и для выполнения кода не требуется особых технических навыков. Критическая опасность связана с повсеместным присутствием Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j включена почти во все корпоративные продукты, выпущенные Apache Software Foundation, такие как Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и пр. Другие проекты с открытым исходным кодом (Redis, ElasticSearch, Elastic Logstash, Ghidra от АНБ) также используют библиотеку в той или иной мере.

CVE-2021-44228 затрагивает версии log4j между 2.0-beta-9 и 2.14.1. Проблема отсутствует в версии log4j 1 и исправлена в версии 2.15.0.

По словам экспертов из компании LunaSec, серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и, возможно, тысячи других компаний подвержены данной уязвимости.

Как сообщил китайский исследователь в области кибербезопасности, использующий псевдоним p0rz9 , эксплуатация CVE-2021-44228 возможна только в том случае, если для параметра log4j2.formatMsgNoLookups в конфигурации библиотеки задано значение false. В исправленной версии Log4j 2.15.0 для этого параметра установлено значение true, предотвращая атаки. Пользователи Log4j, которые обновились до версии 2.15.0, но затем установили для этого флага значение false, останутся уязвимыми к атакам. Точно так же пользователи старой версии Log4j с установленным флагом в значении true могут блокировать атаки.

По словам ИБ-экспертов, злоумышленники уже сканируют Сеть на предмет приложений, которые могут быть уязвимы к атакам Log4Shell.

Темы:КибербезопасностьJavaОтрасльApache
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...