Slo-Tech - V knjižnici Java logging library Log4j so odkrili hudo ranljivost, ki napadalcem omogoči izvesti poljubno kodo v sistemu, do katerega imajo le oddaljen dostop (remote code execution). Prizadeta knjižnica se široko uporablja, objavljena pa je tudi koda, ki omogoča izrabo ranljivosti. Zato ni presenetljivo, da že beležijo primere aktivne zlorabe in napadov na produkcijske sisteme. Popravljena verzija je že na voljo, a smo v veliki meri odvisni od proizvajalcev aplikacij in sistemov, ki uporabljajo Apache Log4j.
Prizadete so verzije od 2.0 do 2.14.1, zato vsem svetujemo nadgradnjo na verzijo 2.15.0. V nekaterih poznejših verzijah (2.10.0 in novejše) se je moč ubraniti tudi z zagonom aplikacije s posebnim stikalom (-Dlog4j2.formatMsgNoLookups=true), kar pa lahko vpliva na funkcionalnost Lookups. Ali je bil neki sistem že tarča napada, lahko preverimo v dnevniških datotekah, ki bodo v tem primeru vsebovale nize ${jndi:ldap://…}. Hekerji že množično iščejo ranljive sisteme. Celo v igri Minecraft, ki obstaja tudi v javanski verziji, so se pojavili igralci, ki si uporabniško ime spremenijo v škodljivi niz znakov.
Log4j je knjižnica za Javo, ki sicer ni najpopularnejši programski jezik, a je še vedno precej razširjen v poslovnih sistemih in spletnih aplikacijah. Za zlorabo je dovolj, da napadalec pošlje zlonamerno kodo, ki jo Log4j zabeleži. Na ranljivost so opozorili že vsi večji CERT-i, vključno s slovenskim.
Novice » Varnost » Huda ranljivost v knjižnici Apache Log4j se že izrablja
Mr.B ::
Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.
Kitajci : Credit: This issue was discovered by Chen Zhaojun of Alibaba Cloud Security Team
tor so blokirali rusi..... ravno vceraj je bila novica.
GreyNoise is detecting a sharply increasing number of hosts opportunistically exploiting Apache Log4J CVE-2021-44228. Exploitation occurring from ~100 distinct hosts, almost all of which are Tor exit nodes. Tags available to all users and customers now.
Kitajci : Credit: This issue was discovered by Chen Zhaojun of Alibaba Cloud Security Team
tor so blokirali rusi..... ravno vceraj je bila novica.
GreyNoise is detecting a sharply increasing number of hosts opportunistically exploiting Apache Log4J CVE-2021-44228. Exploitation occurring from ~100 distinct hosts, almost all of which are Tor exit nodes. Tags available to all users and customers now.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Zgodovina sprememb…
- spremenil: Mr.B ()
Maximus ::
Kolikor sem okoli prebral, se trenutno ranljivosti izrabljajo za coin mining.
Raziskovalci tudi pravijo da ni nujno, da WAF-i in podobne zadeve uspejo ustaviti tak tip napada. Ranljivost se lahko izrabi tudi na strežnikih, ki niso direktno dostopni s spleta.
Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.
Raziskovalci tudi pravijo da ni nujno, da WAF-i in podobne zadeve uspejo ustaviti tak tip napada. Ranljivost se lahko izrabi tudi na strežnikih, ki niso direktno dostopni s spleta.
Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.
Ales ::
Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.
Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.
Nihče ne dela panike, ker ni nobene potrebe za tem.
Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.
Ne se ne.
Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo.
Mr.B ::
Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.
Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.
Nihče ne dela panike, ker ni nobene potrebe za tem.
Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.
Ne se ne.
Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo.
Maš res, upam da ne uporabljaš Steam storitve, Tor omrežja, no lista je dolga recimo apple amaterji...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Maximus ::
Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.
Nihče ne dela panike, ker ni nobene potrebe za tem.
Nisem prepričan, da noben ne dela panike.
Cisco ima kar nekaj produktov z omenjeno ranljivostjo, pa nobena zadeva ni frontend web strežnik
Ali pa recimo nekatere Broadcomove rešitve
Težava je, če je paket/zahtevek dobro narejen, se bo zahteva lahko prenesla na kak backend strežnik in tam izkoristila luknjo.
Še blog post na to temo
Seznam podjetij ki so se odzvala na ranljivost v smislu, ali še preverjajo svoje produkte oz. kakšen je status.
Zgodovina sprememb…
- spremenil: Maximus ()
Mr.B ::
Evo moj NetGear rooter mi je ravno poslal popup, firmware update do to security....
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Ales ::
Zanimivo, da na slo techu nihce ne dela panike. Serverji/ storitve ki imajo nezakrpano luknjo so kar eminentni.
Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.
Nihče ne dela panike, ker ni nobene potrebe za tem.
Bo kar zanimivo spremljati reševanje tega, ker se omenjena "knjižnica" skoraj povsod uporablja.
Ne se ne.
Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo.
Maš res, upam da ne uporabljaš Steam storitve, Tor omrežja, no lista je dolga recimo apple amaterji...
Videl si Tor omenjen v novici in zdaj misliš, da je Tor ranljiv.
Za te ostale omenjene, če so res ranljivi preko tega, me ne skrbi. Se bodo že znašli oz. so se že.
Lahko pa začnemo zbirat prostovoljne prispevke, da bodo lažje vzdrževali infrastrukturo...
Ne, niso. Luknjo ima ena knjižnica za Javo in ta je relativno redka, če primerjaš število vseh spletnih strežnikov. Pa še če gre za Javo, ne uporabljajo vsi prav te knjižnice, niti tega spletnega strežnika.
Nihče ne dela panike, ker ni nobene potrebe za tem.
Nisem prepričan, da noben ne dela panike.
Cisco ima kar nekaj produktov z omenjeno ranljivostjo, pa nobena zadeva ni frontend web strežnik
Ali pa recimo nekatere Broadcomove rešitve
Težava je, če je paket/zahtevek dobro narejen, se bo zahteva lahko prenesla na kak backend strežnik in tam izkoristila luknjo.
Še blog post na to temo
Seznam podjetij ki so se odzvala na ranljivost v smislu, ali še preverjajo svoje produkte oz. kakšen je status.
Ja, tu verjamem, da je nekaj panike. Na ta del problematike se je nanašal tisti drug del mojega posta, ne ta, ki si ga citiral...
"Težava je lahko pri nekaterih enterprise sistemih in še to je dejansko težava le, kadar kdo ni sposoben posodobiti zadeve ali spremeniti nastavitev. Taki mojstri naj kar ugasnejo zadevo, pa bo."
Sem ravnokar enemu dežurnemu kolegu rekel to zadnje in mi je nekaj zabrundal v slušalko ter rekel, da mora it... a sem morda bil neobziren?
Je zvenel nekoliko nervozno...
Mr.B ::
Ales, verjetno nisi pogledal nobenega linka... Na listi niso produkti, nekih domačih šalabajzerjev.
.
.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
Zgodovina sprememb…
- spremenil: Mr.B ()
Ales ::
Zdaj, koliko so kaka zveneča enterprise imena kdaj tudi šalabajzerji in koliko ne, lahko debatiramo. Posledično z veseljem kdaj komu rečem, naj kar ugasne zadevo.
To je črn humor, da ne bo pomote. Sploh glede na ceno, pomembnost naprave v nekem okolju, ... Enim pomaga, ene še bolj znervira, odvisno.
To je črn humor, da ne bo pomote. Sploh glede na ceno, pomembnost naprave v nekem okolju, ... Enim pomaga, ene še bolj znervira, odvisno.
sija ::
A je to res luknja v knjižnici? Kakor jaz razumem, je to povsem veljavna in dokumentirna funkcija programa, ki pa je bila privzeto vklopljena, programerji pa seveda pred uporabo niso natančno prebrali priloženih navodil in se o tveganju in neželenih učinkih niso posvetovali z rumeno gumijasto račko ali IRC kanalom.
MrStein ::
Evo moj NetGear rooter mi je ravno poslal popup, firmware update do to security....
Ruterji ponavadi ne poganjajo jave.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Mr.B ::
Evo moj NetGear rooter mi je ravno poslal popup, firmware update do to security....
Ruterji ponavadi ne poganjajo jave.
Sem opazil da je bil patch iz 30.11.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
sija ::
MrStein ::
Pa še ta tviti so zbrisali. The bastards!
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
secops ::
https://mobile.twitter.com/christophetd...
GitHub briše PoC programe, da bi "pomagal" ljudstvu (:
To ni res
sija ::
https://mobile.twitter.com/christophetd...
GitHub briše PoC programe, da bi "pomagal" ljudstvu (:
To ni res
Izgleda, da imaš prav.
Spura ::
To je log4j2, ki ni ravno pogosta ker folk uporablja tudi:
- log4j 1.x
- logback
- slf4j
- java.util.logging
- log4j 1.x
- logback
- slf4j
- java.util.logging
OracleDev ::
Tudi pri log4j 1.x je odkrita ranljivost če se uporablja JMSAppender. Link
Zgodovina sprememb…
- spremenil: OracleDev ()
mr_chai ::
Še en dokaz, da so javanci overkill "inžinirji", ki tlačjo v vsako stvar 10000 različnih funkcionalnosti.
Ales ::
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
! | [Java] PovezaveOddelek: Programiranje | 40406 (2601) | RonakKumar |
» | Huda ranljivost v knjižnici Apache Log4j se že izrabljaOddelek: Novice / Varnost | 10739 (7356) | Ales |
» | GHOST - resna ranljivost v glibcOddelek: Novice / Varnost | 7602 (4729) | jype |
» | zagon Java aplikacijeOddelek: Programiranje | 1154 (1016) | l0g1t3ch |
» | c# debugger noce ujeti exceptiona!!Oddelek: Programiranje | 1500 (1171) | BlueRunner |