РЧ
Size: a a a
2021 December 12
DK
Ответил лс
s
Ля, ну шо за привычка вечно в лс всех тащить, например я бы тоже почитал что там за мнение про хакерю
С
Поддерживаю. Пусть делится - нам будет полезно услышать, чтобы стать лучше
NK
УВЕДОМЛЕНИЕ О КРИТИЧЕСКОЙ УЯЗВИМОСТИ CVE-2021-44228
Описание уязвимости
Компания Positive Technologies уведомляет о критической уязвимости «Удаленное выполнение произвольного кода» (CVE-2021-44228), которая была опубликована на портале GitHub 9 декабря 2021 года. Данная уязвимость затрагивает ПО Apache Log4j версий с 2.0 по 2.14.1.
Уязвимость позволяет выполнять удаленный код без проверки подлинности. Log4j – это библиотека журналов языка программирования Java с открытым исходным
кодом, разработанная Apache Foundation. Она широко используется в приложениях и присутствует в качестве зависимости во многих сервисах (например, в корпоративных приложениях и облачных сервисах). Уязвимым является любой сценарий, который позволяет удаленному соединению предоставлять произвольные данные, записываемые в файлы журнала регистрации
событий приложением с использованием библиотеки Log4j. Таким образом, уязвимость может быть поэксплуатирована множеством методов в зависимости от конкретного
сервиса. Эксперты компании Positive Technologies прогнозируют, что данная уязвимость будет эксплуатироваться злоумышленниками в реальных атаках и подвергнет значительному риску тысячи организаций.
В результате анализа уязвимости «Удаленное выполнение произвольного кода» (CVE-2021-44228) эксперты Positive Technologies настоятельно рекомендуют обратить
внимание на следующее:
● широко используемое корпоративное ПО, установленное в конфигурации «по умолчанию», уязвимо в большинстве случаев;
● уязвимость может быть проэксплуатирована без аутентификации;
● уязвимость затрагивает версии библиотеки Log4j с 2.0 по 2.14.1;
● уязвимость позволяет удаленно выполнять код от имени пользователя, запускающего приложение, которое использует библиотеку Log4j.
Влияние уязвимости
Библиотека Log4j очень часто используется в корпоративном программном обеспечении, разработанном на языке программирования Java. Поэтому предварительно
трудно оценить потенциальное влияние, которое может оказать атака. Как и в случае с другими известными уязвимостями, такими как «Heartbleed» и «Shellshock», специалисты компании Positive Technologies полагают, что в ближайшие недели будет обнаружено большое количество уязвимых продуктов. Из-за наличия готового эксплойта, простоты использования и широты применения злоумышленники немедленно начнут использовать
данную уязвимость в атаках.
Рекомендации
Если вы считаете, что уязвимость «Удаленное выполнение произвольного кода» (CVE-2021-44228) может повлиять на вашу инфраструктуру, компания Positive Technologies
рекомендует проверять журналы регистрации событий на предмет наличия аномальной активности по отношению к затронутым приложениям. При обнаружении аномального
событий рекомендуется предположить, что это инцидент безопасности, инфраструктура скомпрометирована, и отреагировать соответствующим образом. Кроме того, рекомендуется незамедлительно обновить библиотеку Log4j 2 до версий 2.15.0-rc2 и выше. По некотором данным, данную уязвимость может устранить обновление ПО JDK до версий выше 6u211, 7u201, 8u191 и 11.0.1. В качестве компенсационных мер рекомендуется установить и проверить при запуске, что для параметра виртуальной машины Java log4j2.formatMsgNoLookups
установлено значение true. Если установка обновлений безопасности невозможна, настоятельно рекомендуется
применить временные компенсационные меры, указанные выше, и внимательно отслеживать аномальную активность в отношении уязвимых приложений.
Описание уязвимости
Компания Positive Technologies уведомляет о критической уязвимости «Удаленное выполнение произвольного кода» (CVE-2021-44228), которая была опубликована на портале GitHub 9 декабря 2021 года. Данная уязвимость затрагивает ПО Apache Log4j версий с 2.0 по 2.14.1.
Уязвимость позволяет выполнять удаленный код без проверки подлинности. Log4j – это библиотека журналов языка программирования Java с открытым исходным
кодом, разработанная Apache Foundation. Она широко используется в приложениях и присутствует в качестве зависимости во многих сервисах (например, в корпоративных приложениях и облачных сервисах). Уязвимым является любой сценарий, который позволяет удаленному соединению предоставлять произвольные данные, записываемые в файлы журнала регистрации
событий приложением с использованием библиотеки Log4j. Таким образом, уязвимость может быть поэксплуатирована множеством методов в зависимости от конкретного
сервиса. Эксперты компании Positive Technologies прогнозируют, что данная уязвимость будет эксплуатироваться злоумышленниками в реальных атаках и подвергнет значительному риску тысячи организаций.
В результате анализа уязвимости «Удаленное выполнение произвольного кода» (CVE-2021-44228) эксперты Positive Technologies настоятельно рекомендуют обратить
внимание на следующее:
● широко используемое корпоративное ПО, установленное в конфигурации «по умолчанию», уязвимо в большинстве случаев;
● уязвимость может быть проэксплуатирована без аутентификации;
● уязвимость затрагивает версии библиотеки Log4j с 2.0 по 2.14.1;
● уязвимость позволяет удаленно выполнять код от имени пользователя, запускающего приложение, которое использует библиотеку Log4j.
Влияние уязвимости
Библиотека Log4j очень часто используется в корпоративном программном обеспечении, разработанном на языке программирования Java. Поэтому предварительно
трудно оценить потенциальное влияние, которое может оказать атака. Как и в случае с другими известными уязвимостями, такими как «Heartbleed» и «Shellshock», специалисты компании Positive Technologies полагают, что в ближайшие недели будет обнаружено большое количество уязвимых продуктов. Из-за наличия готового эксплойта, простоты использования и широты применения злоумышленники немедленно начнут использовать
данную уязвимость в атаках.
Рекомендации
Если вы считаете, что уязвимость «Удаленное выполнение произвольного кода» (CVE-2021-44228) может повлиять на вашу инфраструктуру, компания Positive Technologies
рекомендует проверять журналы регистрации событий на предмет наличия аномальной активности по отношению к затронутым приложениям. При обнаружении аномального
событий рекомендуется предположить, что это инцидент безопасности, инфраструктура скомпрометирована, и отреагировать соответствующим образом. Кроме того, рекомендуется незамедлительно обновить библиотеку Log4j 2 до версий 2.15.0-rc2 и выше. По некотором данным, данную уязвимость может устранить обновление ПО JDK до версий выше 6u211, 7u201, 8u191 и 11.0.1. В качестве компенсационных мер рекомендуется установить и проверить при запуске, что для параметра виртуальной машины Java log4j2.formatMsgNoLookups
установлено значение true. Если установка обновлений безопасности невозможна, настоятельно рекомендуется
применить временные компенсационные меры, указанные выше, и внимательно отслеживать аномальную активность в отношении уязвимых приложений.
s
Так если там не старая версия жабы, то рце не будет. Отстук будет, но код не будет исполнен.
s
Но бага интересная
N
VPN для анонимности? Я точно в чате специалистов?
s
Для некоторых впн = проксик
SP
Я не уточнял, какой именно использовать)
N
Анонимности нет. Конфиденциальность пока есть и это комплекс мер, не просто впн
.
Какие книги можете посоветовать для новичка в области пентестинга?
Г
Купил библию❤️
s
Серия книг "взламываем как порно звезда" "Защищаем как рок звезда" и т.д. достаточно лёгкое чтиво, какие-то базовые имхо вещи понять можно.
.
Хорошо,спасибо
NK
ФСТЭК Приказ №21
Всем привет! Сегодня я хотел бы затронуть тему защиты персональных данных со стороны требований Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК), рассмотреть общие понятия и разобрать недостатки.
📌 Читать статью: https://codeby.net/threads/fstehk-prikaz-no21.74991/
📝 Школа КодебайШкола Кодебай |🍿Наш ютубНаш ютуб |👾 Наш дискорд
Наш дискорд
#information #legislation
Всем привет! Сегодня я хотел бы затронуть тему защиты персональных данных со стороны требований Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК), рассмотреть общие понятия и разобрать недостатки.
📌 Читать статью: https://codeby.net/threads/fstehk-prikaz-no21.74991/
📝 Школа КодебайШкола Кодебай |🍿Наш ютубНаш ютуб |👾 Наш дискорд
Наш дискорд
#information #legislation
k5
На эту теме обожаю читать посты Лукацкого
M
Поболтаем? https://discord.gg/sW7ezRtC 👻
2021 December 13
M
нусъ идем дальше )
С
Отличнло!