:

Szerző: Koi Tamás

2021. december 17. 10:11

Versenyt futnak az idővel a fejlesztők a Log4Shell miatt

Számos globális IT-multi több száz termékéhez még mindig nem készült el az a javítás, mely befoltozza az Apache Log4j naplózóban felfedezett, múlt pénteken publikált kritikus biztonsági rést.

A világ legnagyobb IT-óriásai közül többen versenyt futnak az idővel annak érdekében, hogy még a karácsonyi leállások előtt elkészüljön az a szoftveres javítás, mely az idei év egyik legsúlyosabb biztonsági sebezhetőségét javítja. Az Apache naplózójában felfedezett, aktívan kihasznált kritikus biztonsági rés javítása ugyanis nem minden esetben triviális feladat, hiába adták ki időközben az érintett Log4j modul javított, 2.15-ös verzióját.

A Java hibaüzenetek naplózására használt Apache Log4j könyvtárat érintő, Log4Shell néven becézett, CVE-2021-44228 számú sérülékenység hitelesítés nélküli, tetszőleges, távoli kódfuttatást tesz lehetővé a támadók számára, melynek sikeres kihasználása estén teljes, rendszerszíntű hozzáférést tesz lehetővé. 

developer_2

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A Log4Shell első nyomaira a Microsoft tulajdonában lévő Minecraft játékban bukkantak a LunaSec kutatói, és bár eleinte úgy vélték, más szoftvert nem érint a hiba, hamar fény derült rá, hogy a sebezhetőség ott lehet a legtöbb, Java nyelven íródott applikációban, illetve Java-t használó szolgáltatásban, szerverkomponensben, amennyiben azok a Log4j 2.0 és 2.14.1 közötti kiadását használják (ebből a szempontból azok a cégek, melyek még nem frissítettek az 1.x verzióról, most kényelmesen hátradőlhetnek).

Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) közreműködésével készült nyilvános lista igyekszik pontos képet adni arról, hogy mely cégek termékeit érinti a sebezhetőség, illetve rendelkezésre áll-e már javítás a biztonsági résre. A javítatlan szoftverkomponensek listáján magyar idő szerint péntek reggel ott szerepel egyebek mellett számos Avaya, Cisco és VMware termék, de a tavalyi év egyik legnagyobb visszhangját kapott biztonsági incidense során érintett SolarWinds két megoldása is.

Bár a biztonsági rést több jelentés szerint is aktívan kihasználják már hackerek, köztük államilag támogatott entitások, a CISA a hét közepén közölte, eddig nincs nyoma annak, hogy a Log4Shell-en keresztül sikeresen támadtak volna amerikai kormányzati intézményeket.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról