| dbo:abstract
|
- A Log4Shell (CVE-2021-44228) egy a Log4j-ben, egy népszerű Java naplózási keretrendszerben. A sebezhetőség, ami tetszőleges kódvégrehajtást tesz lehetővé, 2013 óta észrevétlenül létezett a rendszerben, mígnem 2021. november 24-én Chen Zhaojun, az Alibaba Cloud biztonsági csapatának tagja felhívta rá az Apache Software Foundation figyelmét, és a szervezet 2021. december 9-én nyilvánosságra hozta a hibát. Az Apache 10-es súlyosságúnak ítélte meg a Log4Shellt a CVSS skálán, vagyis a legnagyobb pontszámúnak. A sebezhetőség könnyen kihasználható, becslések szerint eszközök százmillióit érinti. A sebezhetőség azt használja ki, hogy a Log4j kéréseket engedélyez tetszőleges LDAP és JNDI szerverek felé, lehetővé téve a támadóknak, hogy tetszőleges Java kódot futtassanak le egy szerveren vagy más számítógépen, vagy érzékeny információhoz férjenek hozzá. Az Apache Security Team közzétette az érintett szoftverprojektek listáját, melyben olyan kereskedelmi szolgáltatások szerepelnek, mint az Amazon Web Services, a Cloudflare, az iCloud, a Minecraft: Java Edition, a Steam, a Tencent QQ és sok egyéb. A Wiz és az EY jelentése szerint a sebezhetőség a vállalati felhőkörnyezetek 93%-át érinti. Szakértők minden idők legnagyobb sebezhetőségeként írják le a Log4Shellt. A LunaSec úgy jellemezte, „katasztrofális súlyosságú tervezési hiba”, a Tenable azt nyilatkozta, az exploit „a valaha volt legnagyobb, legkritikusabb sebezhetőség”, az Ars Technica szerint „valószínűleg az eddigi legsúlyosabb sebezhetőség”, a The Washington Post pedig azt írta, hogy a biztonsági szakemberek beszámolói „szinte már az apokalipszist sejtetik”. (hu)
- A Log4Shell (CVE-2021-44228) egy a Log4j-ben, egy népszerű Java naplózási keretrendszerben. A sebezhetőség, ami tetszőleges kódvégrehajtást tesz lehetővé, 2013 óta észrevétlenül létezett a rendszerben, mígnem 2021. november 24-én Chen Zhaojun, az Alibaba Cloud biztonsági csapatának tagja felhívta rá az Apache Software Foundation figyelmét, és a szervezet 2021. december 9-én nyilvánosságra hozta a hibát. Az Apache 10-es súlyosságúnak ítélte meg a Log4Shellt a CVSS skálán, vagyis a legnagyobb pontszámúnak. A sebezhetőség könnyen kihasználható, becslések szerint eszközök százmillióit érinti. A sebezhetőség azt használja ki, hogy a Log4j kéréseket engedélyez tetszőleges LDAP és JNDI szerverek felé, lehetővé téve a támadóknak, hogy tetszőleges Java kódot futtassanak le egy szerveren vagy más számítógépen, vagy érzékeny információhoz férjenek hozzá. Az Apache Security Team közzétette az érintett szoftverprojektek listáját, melyben olyan kereskedelmi szolgáltatások szerepelnek, mint az Amazon Web Services, a Cloudflare, az iCloud, a Minecraft: Java Edition, a Steam, a Tencent QQ és sok egyéb. A Wiz és az EY jelentése szerint a sebezhetőség a vállalati felhőkörnyezetek 93%-át érinti. Szakértők minden idők legnagyobb sebezhetőségeként írják le a Log4Shellt. A LunaSec úgy jellemezte, „katasztrofális súlyosságú tervezési hiba”, a Tenable azt nyilatkozta, az exploit „a valaha volt legnagyobb, legkritikusabb sebezhetőség”, az Ars Technica szerint „valószínűleg az eddigi legsúlyosabb sebezhetőség”, a The Washington Post pedig azt írta, hogy a biztonsági szakemberek beszámolói „szinte már az apokalipszist sejtetik”. (hu)
|
