LIVE Карточные игры в онлайн казино
МехКорпс — роботы и киборги

Уязвимость Log4Shell позволяет удалённо выполнять код на миллионах систем в интернете, просто отправив на них определённую строку символов

13.12.2021 11:14

Уязвимость Log4Shell позволяет удалённо выполнять код на миллионах систем в интернете, просто отправив на них определённую строку символов

В библиотеке журналирования log4j, широко используемой приложениями и сервисами в интернете, обнаружена уязвимость под названием Log4Shell. Она делает уязвимыми миллионы систем в интернете, позволяя злоумышленникам удалённо выполнять код на уязвимых серверах и внедрять вредоносное ПО, которое может полностью скомпрометировать устройства.

Уязвимость обнаружена в log4j, библиотеке журналов с открытым исходным кодом, используемой приложениями и службами в Интернете. Журналирование (или запись логов) – это процесс, при котором приложения хранят список выполненных действий, которые впоследствии могут быть просмотрены в случае ошибки. Почти каждая сетевая система безопасности запускает какой-либо процесс журналирования, что делает очень популярными библиотеки, такие как log4j.

Как заявляет исследователь безопасности Маркус Хатчинс, «миллионы приложений используют Log4j для ведения логов, и всё, что нужно сделать злоумышленнику, – это заставить приложение регистрировать специальную строку».

Впервые уязвимость была обнаружена на сайтах, на которых размещены серверы Minecraft. Обнаружилось, что злоумышленники могут активировать уязвимость, отправляя сообщения в чате чата. Компания GreyNoise, занимающейся анализом безопасности, сообщила, что она уже обнаружила множество серверов, которые ищут в интернете системы, уязвимые для Log4Shell. Компания LunaSec, занимающейся безопасностью приложений, заявила, что игровые платформы Steam и Apple iCloud также оказались уязвимыми.

Чтобы воспользоваться уязвимостью, злоумышленник должен заставить приложение сохранить в журнале специальную строку символов. Поскольку приложения регулярно регистрируют широкий спектр событий, таких как отправленные и полученные пользователями сообщения или подробные сведения о системных ошибках, уязвимость необычайно проста в использовании и может быть вызвана различными способами. Теоретически эксплойт может быть реализован даже физически, путем сокрытия строки символов в QR-коде.

Уже вышло обновление библиотеки log4j, устраняющее данную уязвимость. Но с учётом того, что обновление всех уязвимых систем в интернете требует немало времени, Log4Shell остаётся серьезной угрозой.

Источник

Читайте также
Щенки на счастье, котята к деньгам: Как звёзды повлияют на благосостояние
Ливневый апокалипсис в Севастополе стал предвестником вторжения аннунаков с Нибиру
Я-Мы рептилоиды: учёные доказали, что люди произошли от пришельцев
Рыба, мясо и мутант: В Чернобыле выловили чешуйчатого свинозавра
Красоту в сторону: Какие опасности для здоровья готовит Луна на 10 февраля?
10.06.2024, 02:43
Карточные игры в онлайн казино
Дизельные Станции Мощности Рывок
06.10.2023, 16:33
Дизельные Станции Мощности Рывок
Кедр Solution – разработка ПО на заказ
16.04.2023, 11:51
Кедр Solution – разработка ПО на заказ
Вести Приморья
12.02.2022, 17:09
Вести Приморья
Редакция: | Карта сайта: XML | HTML | SM
2013-2024 © "МехКорпс — роботы и киборги". Все права защищены.