Java | NÚKIB

Zranitelnost v Log4j může zasáhnout hromadu firem. NÚKIB dnes vydal příkazy pro kritickou infrastrukturu státu

Zranitelnost v Log4j může zasáhnout hromadu firem. NÚKIB dnes vydal příkazy pro kritickou infrastrukturu státu | Foto: Pixabay.com

Bezpečnostní experti nedávno objevili zranitelnost CVE-2021-44228 (Log4Shell) ve starších verzích knihovny Log4j 2.x pro Javu a práci s logy.

Chyba v nástroji pro práci s logy v Javě

Pro běžného smrtelníka by to byla za běžné situace poměrně okrajová a ryze technicistní zpráva, jelikož ale patří Java k nejrozšířenějším technologiím pro podnikové aplikace a Log4j je integrální součástí mnoha produktů od nadace Apache, problém se nabaluje jako sněhová koule a může se týkat ohromného množství zejména serverových aplikací.

V potenciálním ohrožení nicméně mohou být i některé na Javě postavené produkty pro běžné uživatele. Zranitelností se tak zabývá třeba výrobce nasů QNAP a zjišťuje, jestli nemohou být napadnutelné jeho aplikace, protože sám používá softwary od nadace Apache.

NÚKIB vydal příkaz pro kritickou infrastrukturu

Kvůli zranitelnosti může záškodník skrze Log4j spustit vlastní kód. Chyba se týká verzí 2.0 až 2.14.1 a záplata je součástí balíčku 2.15.0-rc2 z 10. prosince.

Ověření zneužit zranitelnosti:
Zneužití zranitelnosti lze ověřit vyhledáním řetězců `${jndi:ldap://`,`${jndi:rmi://`, `${jndi:ldaps://` v lozích serveru. K vyhledání lze použít například příkaz a YARA pravidlo publikované zde

Odstranění zranitelnosti:
Zranitelnost lze mitigovat nastavením parametru `log4j2.formatMsgNoLookups` na `True`, ve verzích 2.0 až 2.14.1. Zranitelnost také opravuje aktualizace 2.15.0-rc2 vydaná 10.12.2021, která tento parametr nastavuje na `True` v defaultní konfiguraci.

NÚKIB

Před chybou varuje také tuzemský Národní úřad pro kybernetickou a informační bezpečnost, který dnes vydal veřejnou vyhlášku – opatření obecné povahy s povely pro kritickou infrastrukturu státu. Jedná se tedy o soubor bodů, které musejí provést IT oddělení klíčových počítačových systémů, aby zabránila případným škodám.

Plné znění reaktivního opatření NÚKIB:

Diskuze (7) Další článek: Pohodlné snímkování obrazovky s Ashampoo Snap. Návod a plná verze zdarma

Témata článku: Byznys, Malware, Java, NÚKIB, Apache, Hromada, Zranitelnost, Infrastruktura, Hromada firem, Příkaz, Yara, Been Pwned, Kritická infrastruktura, Infrastruktura státu, Nadace



Už vás nebaví hledání potvrzení v telefonu? Caviar záda iPhonu 13 Pro rovnou podepíše QR kódem

Už vás nebaví hledání potvrzení v telefonu? Caviar záda iPhonu 13 Pro rovnou podepíše QR kódem

** Caviar ukázal další speciální edici iPhonu 13 Pro ** Záda podepíše vyrytým QR kódem, který může vést kamkoliv ** Nejdražší varianta telefonu stojí čtvrt milionu!

Martin Chroust
CaviarLimitovaná edice
QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

** Čtvercový grafický kód usnadňuje život už mnoho let ** S rostoucí oblibou a využitím přibývá i podvodů ** Nejčastěji jsou podvody zaměřeny na podstrčení falešného kódu

Martin Miksa
PodvodQR kódBezpečnost
Nový americký dělostřelecký systém zlomil rekord nejrychleji vystřeleným projektilem

Nový americký dělostřelecký systém zlomil rekord nejrychleji vystřeleným projektilem

** Nový dělostřelecký systém U.S. Army před časem zlomil rekord v rychlosti výstřelu ** Umožnila to speciální hnací náplň munice ** Za účelem jejího vývoje byl postavený pozoruhodný balistický simulátor (BSIM)

Stanislav Mihulka
RekordyZbraněArmáda
Tiché updaty na pozadí. Google nově eviduje seznam změn u Aktualizací služeb systému Android

Tiché updaty na pozadí. Google nově eviduje seznam změn u Aktualizací služeb systému Android

** Velké aktualizace a updaty zabezpečení nejsou všechno ** Google dokáže Androidy v tichosti aktualizovat na dálku ** Děje se tak díky tzv. Aktualizacím služeb systému. Víte, kde je najít?

Martin Chroust
UpdateAndroid
Mexické drogové kartely používají drony s malými bombami. Odhození a zásah rovnou nafilmují

Mexické drogové kartely používají drony s malými bombami. Odhození a zásah rovnou nafilmují

** Mexické drogové kartely využívají pozoruhodné nekonvenční zbraňové systémy ** Patří mezi ně rovněž drony v mnoha podobách ** Nedávno zveřejněné video zachycuje útok dronu shazujícího malé bomby

Stanislav Mihulka
MexikoDrogyZbraně
Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Rusko obviňuje astronautku NASA ze sabotáže Mezinárodní vesmírné stanice
Jiří Černý
Mezinárodní vesmírná staniceNASARusko
Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

** Klinická studie zkoumala vliv antidepresiva fluvoxamin na covid-19 ** Počet úmrtí souvisejících s covidem-19 klesl zhruba o 90 % ** Potřeba intenzivní lékařské péče se snížila zhruba o 65 %

Karel Kilián
COVID-19LékyDepreseMedicína