Security Week 50: драма вокруг log4j
На прошлой неделе, 9 декабря, были обнародованы детали уязвимости в Apache log4j, библиотеке для сбора и обработки логов. Уязвимость CVE-2021-44228 приводит к выполнению произвольного кода и эксплуатируется тривиально, о чем свидетельствует самый высокий рейтинг по шкале CVSS — 10 баллов. Это достаточно редкий в сфере информационной безопасности случай «идеального шторма»: уязвимость эксплуатируется легко, при этом подчас сложно определить все уязвимые приложения в инфраструктуре и накатить патч в условиях активных попыток взлома.
Дыру в log4j часто сравнивают с уязвимостью Heartbleed 2014 года. Тогда в библиотеке OpenSSL была обнаружена ошибка, приводящая к утечке данных из памяти. Она позволяла удаленно и скрытно извлекать секреты, и также принесла администраторам систем массу проблем. Сложно было не столько обнаружить все уязвимые инсталляции, сколько определить, какие данные теоретически могли быть похищены. У Heartbleed и безымянной (не считая креатива в MS Paint) уязвимости в log4j есть и еще один общий момент: это открытые проекты, разрабатываемые в условиях перманентной нехватки ресурсов.
Читать дальше →
Дыру в log4j часто сравнивают с уязвимостью Heartbleed 2014 года. Тогда в библиотеке OpenSSL была обнаружена ошибка, приводящая к утечке данных из памяти. Она позволяла удаленно и скрытно извлекать секреты, и также принесла администраторам систем массу проблем. Сложно было не столько обнаружить все уязвимые инсталляции, сколько определить, какие данные теоретически могли быть похищены. У Heartbleed и безымянной (не считая креатива в MS Paint) уязвимости в log4j есть и еще один общий момент: это открытые проекты, разрабатываемые в условиях перманентной нехватки ресурсов.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Цифровой фронтир: Почему малому бизнесу пора вспомнить опыт Napster
- gost-curl — консольный HTTP-клиент с поддержкой ГОСТ TLS 1.3
- Я год не писал код руками. Но я не вайбкодер — и это две разные профессии
- Треоко. Космос: Космическая викторина - на старт!
- Карты, деньги, облака
- Искусство Инфобеза, часть 2: NGFW, базовый минимум
- Как незаметная indirect-зависимость в Go дописала ручку в ваш HTTP-сервер
- Spark_news: Т-Банк и Colizeum запускают первый в России кэшбэк игровым временем и другие активности для геймеров
- Как научить ИИ-ассистента писать тесты и моделировать угрозы безопасности в процессе кодинга
- Аналитики: начинающие предприниматели чаще выбирают онлайн-торговлю