В библиотеке Log4j нашли новую уязвимость, против которой не помогают исправления безопасности.
9 декабря в библиотеке логирования для программ на языке Java нашли уязвимость, которая позволяет минимальными усилиями взламывать серверы крупных компаний, банков и госучреждений. Программы на Java популярны в корпоративном секторе, а библиотеку Log4j использует большинство программ на Java для ведения логов — она пишет о том, что происходит в программе. Например, ведёт статистику пользователей в онлайн-игре или интернет-банке.
Оказалось, если передать Log4j специально оформленную строку, библиотека бесконтрольно исполнит её как программный код. Это крайне опасная и очень доступная уязвимость, даже начинающие хакеры могут через неё взламывать интернет-сервисы, онлайн-игры и корпоративные сети вроде Apple iCloud и Amazon. Только за первые трое суток после известия о Log4Shell произошло более 800 тысяч атак с попытками её использовать. В основном уязвимостью пользуются вирусы-шифровальщики и майнеры криптовалют.
Подробнее в источнике
9 декабря в библиотеке логирования для программ на языке Java нашли уязвимость, которая позволяет минимальными усилиями взламывать серверы крупных компаний, банков и госучреждений. Программы на Java популярны в корпоративном секторе, а библиотеку Log4j использует большинство программ на Java для ведения логов — она пишет о том, что происходит в программе. Например, ведёт статистику пользователей в онлайн-игре или интернет-банке.
Оказалось, если передать Log4j специально оформленную строку, библиотека бесконтрольно исполнит её как программный код. Это крайне опасная и очень доступная уязвимость, даже начинающие хакеры могут через неё взламывать интернет-сервисы, онлайн-игры и корпоративные сети вроде Apple iCloud и Amazon. Только за первые трое суток после известия о Log4Shell произошло более 800 тысяч атак с попытками её использовать. В основном уязвимостью пользуются вирусы-шифровальщики и майнеры криптовалют.
Подробнее в источнике