17 проектов Apache оказались затронуты уязвимостью в Log4j 2
Автор
Сообщение
news_bot ®
Стаж: 7 лет 2 месяца
Сообщений: 27286
Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.
Проекты Apache, которых не затрагивает уязвимость в Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack.
Пользователям проблемных пакетов рекомендуется срочно установить выпущенные для них обновления, отдельно обновить версию Log4j 2 или выставить параметр Log4j2.formatMsgNoLookups в значение true. Для блокирования уязвимости на системах, к которым нет прямого доступа, предложен эксплоит-вакцина Logout4Shell, который через совершение атаки выставляет Java-настройки "log4j2.formatMsgNoLookups = true", "com.sun.jndi.rmi.object.trustURLCodebase = false" и "com.sun.jndi.cosnaming.object.trustURLCodebase = false" для блокирования дальнейшего проявления уязвимости на неподконтрольных системах.
В последние дни отмечается существенный рост активности, связанной с эксплуатацией уязвимости. Например, компания Check Point зафиксировала на своих подставных серверах в пике около 100 попыток эксплуатации в минуту, а компания Sophos сообщила о выявлении нового ботнета для майнинга криптовалюты, сформированного из систем с неисправленной уязвимостью в Log4j 2.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blogs.apache.org/secur...)
- OpenNews: Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты
- OpenNews: Уязвимость в Apache Struts может затрагивать различные продукты Cisco
- OpenNews: Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts
- OpenNews: Критическая уязвимость в Apache Struts
- OpenNews: WordPress и Apache Struts среди web-платформ лидируют по числу уязвимостей с эксплоитами
Похожие новости:
- Катастрофическая уязвимость в Apache Log4j, затрагивающая многие Java-проекты
- Доступен Emscripten 3.0, компилятор из C/C++ в WebAssembly
- Web-фреймворк Pusa, переносящий логику JavaScript-фронтэнда на сторону сервера
- Применение невидимых unicode-символов для скрытия действий в JavaScript-коде
- Выпуск JavaScript-платформы Deno 1.16
- Выпуск серверной JavaScript-платформы Node.js 17.0
- Выпуск Brython 3.10, реализации языка Python для web-браузеров
- Проект elk развивает компактный JavaScript-движок для микроконтроллеров
- Компания Oracle убрала ограничение по использованию JDK в коммерческих целях
- Выпуск Java SE 17
Теги для поиска: #_log4j, #_java
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 02:33
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 2 месяца |
|
|
Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server. Проекты Apache, которых не затрагивает уязвимость в Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack. Пользователям проблемных пакетов рекомендуется срочно установить выпущенные для них обновления, отдельно обновить версию Log4j 2 или выставить параметр Log4j2.formatMsgNoLookups в значение true. Для блокирования уязвимости на системах, к которым нет прямого доступа, предложен эксплоит-вакцина Logout4Shell, который через совершение атаки выставляет Java-настройки "log4j2.formatMsgNoLookups = true", "com.sun.jndi.rmi.object.trustURLCodebase = false" и "com.sun.jndi.cosnaming.object.trustURLCodebase = false" для блокирования дальнейшего проявления уязвимости на неподконтрольных системах. В последние дни отмечается существенный рост активности, связанной с эксплуатацией уязвимости. Например, компания Check Point зафиксировала на своих подставных серверах в пике около 100 попыток эксплуатации в минуту, а компания Sophos сообщила о выявлении нового ботнета для майнинга криптовалюты, сформированного из систем с неисправленной уязвимостью в Log4j 2. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 02:33
Часовой пояс: UTC + 5