Szerző: Koi Tamás

2021. december 17. 10:11

Versenyt futnak az idővel a fejlesztők a Log4Shell miatt

Számos globális IT-multi több száz termékéhez még mindig nem készült el az a javítás, mely befoltozza az Apache Log4j naplózóban felfedezett, múlt pénteken publikált kritikus biztonsági rést.

A világ legnagyobb IT-óriásai közül többen versenyt futnak az idővel annak érdekében, hogy még a karácsonyi leállások előtt elkészüljön az a szoftveres javítás, mely az idei év egyik legsúlyosabb biztonsági sebezhetőségét javítja. Az Apache naplózójában felfedezett, aktívan kihasznált kritikus biztonsági rés javítása ugyanis nem minden esetben triviális feladat, hiába adták ki időközben az érintett Log4j modul javított, 2.15-ös verzióját.

A Java hibaüzenetek naplózására használt Apache Log4j könyvtárat érintő, Log4Shell néven becézett, CVE-2021-44228 számú sérülékenység hitelesítés nélküli, tetszőleges, távoli kódfuttatást tesz lehetővé a támadók számára, melynek sikeres kihasználása estén teljes, rendszerszíntű hozzáférést tesz lehetővé. 

developer_2

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A Log4Shell első nyomaira a Microsoft tulajdonában lévő Minecraft játékban bukkantak a LunaSec kutatói, és bár eleinte úgy vélték, más szoftvert nem érint a hiba, hamar fény derült rá, hogy a sebezhetőség ott lehet a legtöbb, Java nyelven íródott applikációban, illetve Java-t használó szolgáltatásban, szerverkomponensben, amennyiben azok a Log4j 2.0 és 2.14.1 közötti kiadását használják (ebből a szempontból azok a cégek, melyek még nem frissítettek az 1.x verzióról, most kényelmesen hátradőlhetnek).

Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) közreműködésével készült nyilvános lista igyekszik pontos képet adni arról, hogy mely cégek termékeit érinti a sebezhetőség, illetve rendelkezésre áll-e már javítás a biztonsági résre. A javítatlan szoftverkomponensek listáján magyar idő szerint péntek reggel ott szerepel egyebek mellett számos Avaya, Cisco és VMware termék, de a tavalyi év egyik legnagyobb visszhangját kapott biztonsági incidense során érintett SolarWinds két megoldása is.

Bár a biztonsági rést több jelentés szerint is aktívan kihasználják már hackerek, köztük államilag támogatott entitások, a CISA a hét közepén közölte, eddig nincs nyoma annak, hogy a Log4Shell-en keresztül sikeresen támadtak volna amerikai kormányzati intézményeket.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról