Security Week 50: драма вокруг log4j
На прошлой неделе, 9 декабря, были обнародованы детали уязвимости в Apache log4j, библиотеке для сбора и обработки логов. Уязвимость CVE-2021-44228 приводит к выполнению произвольного кода и эксплуатируется тривиально, о чем свидетельствует самый высокий рейтинг по шкале CVSS — 10 баллов. Это достаточно редкий в сфере информационной безопасности случай «идеального шторма»: уязвимость эксплуатируется легко, при этом подчас сложно определить все уязвимые приложения в инфраструктуре и накатить патч в условиях активных попыток взлома.
Дыру в log4j часто сравнивают с уязвимостью Heartbleed 2014 года. Тогда в библиотеке OpenSSL была обнаружена ошибка, приводящая к утечке данных из памяти. Она позволяла удаленно и скрытно извлекать секреты, и также принесла администраторам систем массу проблем. Сложно было не столько обнаружить все уязвимые инсталляции, сколько определить, какие данные теоретически могли быть похищены. У Heartbleed и безымянной (не считая креатива в MS Paint) уязвимости в log4j есть и еще один общий момент: это открытые проекты, разрабатываемые в условиях перманентной нехватки ресурсов.
Читать дальше →
Дыру в log4j часто сравнивают с уязвимостью Heartbleed 2014 года. Тогда в библиотеке OpenSSL была обнаружена ошибка, приводящая к утечке данных из памяти. Она позволяла удаленно и скрытно извлекать секреты, и также принесла администраторам систем массу проблем. Сложно было не столько обнаружить все уязвимые инсталляции, сколько определить, какие данные теоретически могли быть похищены. У Heartbleed и безымянной (не считая креатива в MS Paint) уязвимости в log4j есть и еще один общий момент: это открытые проекты, разрабатываемые в условиях перманентной нехватки ресурсов.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Что делать, если ваш слон думает, что он баг?
- Как не потерять свои контейнеры у себя в инфраструктуре?
- Киберугрозы в первом полугодии 2025 года: анализ векторов атак на облачные и гибридные инфраструктуры
- Лицо, голос и тело по-датски
- Все тонкости GPG подписей
- Половина работающих в найме россиян хотят уйти в собственный бизнес в ближайшие два года
- «Сделано в России»: цифровые экосистемы МАЕР получили сертификат РЭЦ
- Бренд как медиа: что меняется, когда компания становится источником смыслов
- Foreman в изоляции: как мы построили отказоустойчивую и безопасную систему для массового деплоя ОС
- Пароли не там, где вы их оставили. Как работает DOM Clickjacking