UltraSamoukowy Przegląd Prasowy #23

Uwaga! Notka dostępna jako materiał na moim kanale YouTube!

Ostatnie dni zdominowane zostały przez wiadomości o podatności odkrytej w bibliotece Log4j, zapisaną pod nazwą CVE-2021-44228, inaczej znaną jako Log4Shell. Poinformowały o niej chyba wszystkie serwisy za granicą i w Polsce od CERT Polska,  przez firmy związane z bezpieczeństwem, np. Kaspersky Lab, po serwisy ogólnie związane z IT (nie tylko z bezpieczeństwem, np Benchmark. Tytuły od całkiem spokojnych (Krytyczna podatność w bibliotece Apache Log4j – Linux Polska) przez nieco bardziej odważne (Odkryto wielką dziurę. Najpoważniejszy cyberkryzys w historii? – Cyfrowa RP) po całkiem mocne (Log4j, czyli dziurawy świat open source bez budżetu – Dobre Programy).

Chodzi o to, że w ramach popularnej biblioteki (jak pisze ComputerWorld „wszechobecnej” – zresztą bardzo dobry opis całego zamieszania) Java, służącej do chronologicznego zbierania danych (tzw. logi) istnieje możliwość wykonania zdalnego kodu o ile tekst wysłany do aplikacji jest w specjalnym formacie: ${jndi:ldap://adrespliku}. Taki plik zostaje – okazało się – pobrany i wykonany. Całą historię opisał dokładnie Sekurak, zaś wersja mniej techniczna na blogu Kacpra Szurka, dla wolących formę bardziej multimedialną, jest też wersja na jego kanale YouTube.

Komentarz: Java to popularny język programowania dlatego m.in. że jest ona dostępna (i wykonywalna) na wszystkich platformach. Oznacza to, że sprawa dotyczy ogromnej liczby aplikacji, we wszystkich systemach operacyjnych na wszystkie urządzenia. I dlatego jest na tyle poważna, że potrzebowałem o tym napisać. A komentować… Niewiele da się dodać do tego, co już napisali mądrzejsi ode mnie w kwestii bezpieczeństwa sieciowego.

Poniedziałek z UltraSamoukiem – Nowy Świat

Wtorek z UltraSamoukiem – Bezpieczeństwo

Środa z UltraSamoukiem – Wspomnienia

Czwartek z UltraSamoukiem – Sztuczności (AI)

Piątek z UltraSamoukiem

Sobota z UltraSamoukiem – Na weekend

English version:

The last days were dominated by news about a vulnerability found in the Log4j library, saved under the name CVE-2021-44228, otherwise known as Log4Shell. Probably all websites abroad and in Poland have informed about it, from CERT Polska, through companies related to security, e.g. Kaspersky Lab, to services generally related to IT (not only security, e.g. Benchmark. Log4j – Linux Magazine) through a bit more courageous (A big hole has been discovered. The most serious cyber crisis in history? – Digital RP) to quite strong (Log4j, a leaky open source world without a budget – Good Programs). The point is that the popular Java library (as ComputerWorld writes „ubiquitous” – a very good description of the whole mess) of Java, used for chronological data collection (so-called logs), it is possible to execute remote code as long as the text sent to the application is in a special in the format: $ {jndi: ldap: // filename}. Such a file is – it turned out – downloaded and executed. The whole story was described in detail by Sekurak, and the less technical version on Kacper Szurek’s blog, for those who prefer a more multimedia form, there is also a version on his YouTube channel.

Comment: Java is a popular programming language, therefore, among others that it is available (and executable) on all platforms. This means that a huge number of applications are affected, on all operating systems for all devices. And that’s why it’s so serious that I needed to write about it. And to comment … There is not much that can be added to what some smarter than me have already written in terms of network security.

 

3 thoughts on “UltraSamoukowy Przegląd Prasowy #23

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.