{"id":258049,"date":"2022-09-26T10:28:00","date_gmt":"2022-09-26T07:28:00","guid":{"rendered":"https:\/\/inform.click\/wiele-aplikacji-i-serwerow-opartych-na-javie-jest-podatnych-na-nowy-exploit-log4shell\/"},"modified":"2022-09-26T11:20:00","modified_gmt":"2022-09-26T08:20:00","slug":"wiele-aplikacji-i-serwerow-opartych-na-javie-jest-podatnych-na-nowy-exploit-log4shell","status":"publish","type":"post","link":"https:\/\/inform.click\/pl\/wiele-aplikacji-i-serwerow-opartych-na-javie-jest-podatnych-na-nowy-exploit-log4shell\/","title":{"rendered":"Wiele aplikacji i serwer\u00f3w opartych na Javie jest podatnych na nowy exploit Log4Shell"},"content":{"rendered":"

\n Dlaczego to ma znaczenie:<\/strong> na pocz\u0105tku tego tygodnia tw\u00f3rcy platformy bezpiecze\u0144stwa LunaSec o otwartym kodzie \u017ar\u00f3d\u0142owym wykryli luk\u0119 zero-day, kt\u00f3ra ma wp\u0142yw na powszechnie u\u017cywan\u0105 bibliotek\u0119 rejestrowania opart\u0105 na Javie. Luka, zidentyfikowana w po\u015bcie na blogu jako Log4Shell (CVE-2021-44228), mo\u017ce da\u0107 stronom trzecim mo\u017cliwo\u015b\u0107 wykonania z\u0142o\u015bliwego kodu na podatnych systemach.\n<\/p>\n

\n Odkrycie luki przypisuje<\/a> si\u0119 badaczom z LunaSec<\/a> i Chen Zhaojun z Alibaba Cloud Security. Wykorzystuje szeroko stosowane narz\u0119dzie do rejestrowania oparte na Apache, log4j, do rejestrowania danych serwera ze z\u0142o\u015bliwymi \u0142adunkami, kt\u00f3re wyzwalaj\u0105 seri\u0119 dzia\u0142a\u0144 w celu wstrzykni\u0119cia dodatkowego \u0142adunku. Dodatkowy \u0142adunek umo\u017cliwia zdalne wykonanie kodu w systemie, kt\u00f3rego dotyczy problem.\n<\/p>\n

\n Badacze odpowiedzialni za zidentyfikowanie luki, wykrytej pocz\u0105tkowo na serwerach Minecrafta, uwa\u017caj\u0105, \u017ce setki tysi\u0119cy firm i system\u00f3w mo\u017ce by\u0107 zagro\u017conych z powodu powszechnego korzystania z us\u0142ugi logowania opartej na Apache. Analitycy zidentyfikowali ju\u017c kilka du\u017cych firm i us\u0142ug jako podatne na ataki, w tym Amazon, Apple, Elastic, Steam, Tencent i Twitter. Dyrektor ds. bezpiecze\u0144stwa cybernetycznego Agencji Bezpiecze\u0144stwa Narodowego, Robert Joyce, potwierdzi\u0142<\/a> r\u00f3wnie\u017c, \u017ce problem dotyczy r\u00f3wnie\u017c GHIDRA<\/a>, narz\u0119dzia in\u017cynierii wstecznej agencji typu open source.\n<\/p>\n

\n LunaSec zauwa\u017ca, \u017ce \u200b\u200bka\u017cdy, kto u\u017cywa frameworka Apache Struts<\/a>, jest prawdopodobnie nara\u017cony na ataki. P\u00f3\u017aniejsza aktualizacja rozszerzy\u0142a o\u015bwiadczenie, wskazuj\u0105c, \u017ce wersje JDK wi\u0119ksze ni\u017c 6u211, 7u201, 8u191 i 11.01 nie s\u0105 nara\u017cone na atak oparty na LDAP. Nie oznacza to jednak, \u017ce p\u00f3\u017aniejsze wersje s\u0105 ca\u0142kowicie odporne, poniewa\u017c alternatywne wektory ataku mog\u0105 nadal by\u0107 wykorzystywane do wykorzystania luki Log4Shell w celu zainicjowania zdalnego wykonania kodu.\n<\/p>\n

\n Odkrycie LunaSec i wynikaj\u0105ce z niego CVE zapewniaj\u0105 systemom, kt\u00f3rych dotyczy problem, tymczasowe i sta\u0142e dzia\u0142ania \u0142agodz\u0105ce, aby upewni\u0107 si\u0119, \u017ce exploit nie wp\u0142ynie negatywnie na ich serwery i operacje. Zaktualizowana wersja us\u0142ugi log4j, v2.15.0<\/a>, naprawi\u0142a<\/a> exploita i zosta\u0142a udost\u0119pniona do pobrania. W CVE zapewniono<\/a> r\u00f3wnie\u017c tymczasowe \u015brodki zaradcze dla organizacji, kt\u00f3re nie mog\u0105 obecnie zaktualizowa\u0107 swojej us\u0142ugi log4j.\n<\/p>\n

\n \u0179r\u00f3d\u0142o obrazu: Markus Spiske<\/a>\n<\/p>\n<\/p>\n

\n \u0179r\u00f3d\u0142o nagrywania: techspot.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Odkrycie luki przypisuje si\u0119 badaczom z LunaSec i Chen Zhaojun z Alibaba Cloud Security. Wykorzystuje powszechnie u\u017cywane narz\u0119dzie do logowania oparte na Apache, log4j, do logowania serwera…<\/p>\n","protected":false},"author":1,"featured_media":123273,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[643,526,604],"tags":[],"class_list":["post-258049","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bezpieczenstwo","category-roznorodny","category-technologia-i-nie-tylko"],"_links":{"self":[{"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/posts\/258049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/comments?post=258049"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/posts\/258049\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/media\/123273"}],"wp:attachment":[{"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/media?parent=258049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/categories?post=258049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/pl\/wp-json\/wp\/v2\/tags?post=258049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}