:

Szerző: Asztalos Olivér

2021. december 21. 12:01

Az Intel és az Nvidia termékeit is érinti a Log4Shell hiba

Az Intel és az Nvidia egyes szoftveres fejlesztéseit is érinti a Log4Shell Java-sebezhetőség.

Számos nagyvállalathoz hasonlóan piacvezető chipgyártókat is érinti a közelmúltban napvilágot látott Log4Shell biztonsági hiba. Az Intel a napokban tette közzé a sebezhetőség által érintett szoftvertermékeinek neveit. Az aktuális lista szerint összesen tizenkét, elsősorban fejlesztőknek szóló alkalmazás érintett. Az egy tucat szoftver között olyan címek vannak, mint az Intel System Debugger, az Intel System Studio, az Optimized Analytics Package, vagy épp az Intel Datacenter Manager.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A chipgyártó által is kritikus besorolású biztonsági hiba javításának lehetőségeit egyelőre vizsgálják a szakemberek. A rövid kommentár alapján az Intel tudatában van annak, hogy az Apache log4j jövőbeni verziói további biztonsági hibákat tartalmazhatnak, amelyek az Intel termékeire is hatással lehetnek. A vállalat azt javasolja, hogy az érintett termékek felhasználói rendszeresen ellenőrizzék és telepítsék a frissítéseket.

l4shell

A konkurens Nvidia helyzete egy fokkal komplexebb. Amennyiben az ügyfelek a cég szolgáltatásaihoz és alszolgáltatásaihoz az alkalmazások legújabb kiadásait használják, akkor jelenleg nincs ismert kihasználható sebezhetőség. Az üzemeltetők azonban nem mindig a legfrissebb verziókat futtatják, ezért számukra az Nvidia négy különböző terméket sorol fel, amelyek a "Log4Shell" által sebezhetőek lehetnek: CUDA Toolkit Visual Profiler and Nsight Eclipse Edition, DGX Systems, NetQ, vGPU Software License Server.

Az Nvidia a DGX számítási rendszereit Ubuntu-Linux csomagokkal terjeszti, így a felhasználók maguk is viszonylag könnyen blokkolhatják az Apache Log4J funkcionalitást. A rendszerek a gyári alapértelmezett konfigurációjukban nem sebezhetőek, ám azokban az esetekben, ahol a Log4J szolgáltatást telepítették, az Nvidia azonnali frissítést javasol.

Az Intel és az Nvidia mellett az AMD egyelőre nem számolt be arról, hogy bármely termékét érintené a Java-sebezhetőség. A tervezőcég közleménye kijelentette, az eddigi vizsgálatok alapján egyelőre úgy tűnik, egyik fejlesztésük sem érintett a kritikus Log4Shell hibában. Tekintettel azonban a lehetséges hatásokra, a cég közölte, hogy "folytatja az elemzéseket".

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról