{"id":247465,"date":"2022-09-26T10:28:00","date_gmt":"2022-09-26T07:28:00","guid":{"rendered":"https:\/\/inform.click\/paljud-java-pohised-rakendused-ja-serverid-on-uue-log4shelli-arakasutamise-suhtes-haavatavad\/"},"modified":"2022-09-26T11:20:00","modified_gmt":"2022-09-26T08:20:00","slug":"paljud-java-pohised-rakendused-ja-serverid-on-uue-log4shelli-arakasutamise-suhtes-haavatavad","status":"publish","type":"post","link":"https:\/\/inform.click\/et\/paljud-java-pohised-rakendused-ja-serverid-on-uue-log4shelli-arakasutamise-suhtes-haavatavad\/","title":{"rendered":"Paljud Java-p\u00f5hised rakendused ja serverid on uue Log4Shelli \u00e4rakasutamise suhtes haavatavad"},"content":{"rendered":"

\n Miks see on oluline?<\/strong> Selle n\u00e4dala alguses avastasid avatud l\u00e4htekoodiga turbeplatvormi LunaSec arendajad nullp\u00e4eva haavatavuse, mis m\u00f5jutab laialdaselt kasutatavat Java-p\u00f5hist logiraamatukogu. Haavatavus, mis on blogipostituses identifitseeritud kui Log4Shell (CVE-2021-44228), v\u00f5ib anda kolmandatele osapooltele v\u00f5imaluse k\u00e4ivitada haavatavates s\u00fcsteemides pahatahtlikku koodi.\n<\/p>\n

\n Haavatavuse avastamist tunnustavad<\/a> LunaSeci ja Alibaba Cloud Security Chen Zhaojuni teadlased .<\/a> See kasutab laialdaselt kasutatavat Apache-p\u00f5hist logimisutiliiti log4j, et logida serveri andmeid pahatahtlike kasulike koormustega, mis k\u00e4ivitavad rea toiminguid sekundaarse kasuliku koormuse sisestamiseks. Teisene kasulik koormus v\u00f5imaldab m\u00f5jutatud s\u00fcsteemis koodi kaugk\u00e4ivitada.\n<\/p>\n

\n Algselt Minecrafti serverites avastatud haavatavuse tuvastamise eest vastutavad teadlased usuvad, et Apache-p\u00f5hise logimisteenuse laialdase kasutamise t\u00f5ttu v\u00f5ivad ohus olla sajad tuhanded ettev\u00f5tted ja s\u00fcsteemid. Anal\u00fc\u00fctikud on juba tuvastanud haavatavatena mitu suurt ettev\u00f5tet ja teenust, sealhulgas Amazon, Apple, Elastic, Steam, Tencent ja Twitter. Riikliku Julgeolekuagentuuri k\u00fcberjulgeoleku direktor Robert Joyce kinnitas<\/a> samuti, et m\u00f5jutatud oli ka agentuuri avatud l\u00e4htekoodiga p\u00f6\u00f6rdprojekteerimise t\u00f6\u00f6riist GHIDRA .<\/a>\n<\/p>\n

\n LunaSec m\u00e4rgib, et k\u00f5ik, kes kasutavad Apache<\/a> Strutsi raamistikku, on t\u00f5en\u00e4oliselt haavatavad. Hilisem v\u00e4rskendus laiendas avaldust, mis n\u00e4itab, et r\u00fcnnaku LDAP-p\u00f5hine vektor ei m\u00f5juta JDK versioone, mis on suuremad kui 6u211, 7u201, 8u191 ja 11.01. See aga ei t\u00e4henda, et hilisemad versioonid oleksid t\u00e4iesti immuunsed, kuna Log4Shelli haavatavuse \u00e4rakasutamiseks v\u00f5idakse siiski kasutada alternatiivseid r\u00fcndevektoreid, et algatada koodi kaugk\u00e4ivitus.\n<\/p>\n

\n LunaSeci leid ja sellest tulenev CVE pakuvad m\u00f5jutatud s\u00fcsteemidele ajutisi ja p\u00fcsivaid leevendusmeetmeid tagamaks, et \u00e4rakasutamine ei m\u00f5juta negatiivselt nende servereid ja toiminguid. Teenuse log4j<\/a> v\u00e4rskendatud versioon, v2.15.0, parandas<\/a> \u00e4rakasutamise ja on tehtud allalaadimiseks k\u00e4ttesaadavaks. CVE-s on ajutisi leevendusi ette<\/a> n\u00e4htud ka organisatsioonidele, kes ei saa praegu oma log4j-teenust uuendada.<\/a><\/a>\n<\/p>\n

\n Pildi krediit: Markus Spiske<\/a>\n<\/p>\n<\/p>\n

\n : techspot.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Haavatavuse avastamist tunnustavad LunaSeci ja Alibaba Cloud Security Chen Zhaojuni teadlased. See kasutab serveri logimiseks laialdaselt kasutatavat Apache-p\u00f5hist logimisutiliiti log4j…<\/p>\n","protected":false},"author":1,"featured_media":123273,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[520,598,637],"tags":[],"class_list":["post-247465","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-raznoe","category-tehnoloogia-ja-palju-muud","category-turvalisus"],"_links":{"self":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/posts\/247465","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/comments?post=247465"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/posts\/247465\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/media\/123273"}],"wp:attachment":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/media?parent=247465"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/categories?post=247465"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/tags?post=247465"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}