Log4shell - угрожает Minecraft или УЯЗВИМОСТЬ НУЛЕВОГО ДНЯ

Published: 30 January 2022
on channel: overbafer1

390,757

35k

Переходи по ссылке https://surfshark.deals/OVERBAFER - используй промокод OVERBAFER и получи скидку 83% и 3 месяца в подарок!
➡️ Канал с подробным изложением дырки в Minecraft "Maxet TV" -    • Уязвимость Log4j | Эта Команда в Чате...
🛒НАШ МЕРЧ - https://overbafer1.memerch.store/cata...
🎥 Второй YouTube канал -    / igorover
🤖 https://overbafer1.ru/ - эксклюзивный бот для разведки и поиска информации в сети.
--------------------------------
💬 НАШИ Telegram КАНАЛЫ:

📌 overbafer1 личный канал - https://t.me/overbafer1
💰 Криптовалюта и трейдинг - https://t.me/cryptover1 - Торгуем на споте и фьючерсах
📌 TESTLAND - https://bit.ly/36vAUkS
📌 LAMERLAND - https://t.me/overlamer1
--------------------------------
👁‍🗨 Паблик - https://vk.com/over_view
--------------------------------
💰 Сотрудничество - https://bit.ly/2nChGY8
--------------------------------
📷Instagram:
  / overbafer1
--------------------------------
💰 Стать спонсором канала:
   / @overbafer1
--------------------------------
💰 Поддержка:
https://www.donationalerts.com/r/igor...

В начала декабря 2021 года была найдена и раскрыта новая уязвимость log4shell. Что это такое?
Log4Shell (или CVE-2021-44228) — уязвимость нулевого дня, которая позволяет злоумышленникам удалённо управлять серверами и устанавливать вредоносное ПО. Её нашли в библиотеке Log4j, которая входит в состав Apache Logging Project. Log4Shell получила оценку 10 из 10 по шкале оценки уязвимостей CVSS v3.

Log4j — популярная в среде Java библиотека журналирования с открытым исходным кодом. Библиотека даёт дополнительные возможности для ведения логов, например, уровни логов, механизмы записи в разные лог файлы, шаблоны прокрутки логов и другое.

Уязвимость существует с 2017 года, но заметили и начали её использовать в декабре этого года. Financial Times отмечает, что с помощью log4shell хакеры проводят около 100 атак в минуту на разные сервисы и приложения по всему миру.

Log4Shell нашёл Чен Чжаоцзюнь из Alibaba Cloud Security. Он сообщил об этом разработчикам библиотеки log4j. Уязвимыми признали все версии библиотеки между 2.10.0 и 2.14.x.

Использование этой уязвимости злоумышленниками может привести к потере данных, ключей и секретов AWS или Kubernetes, установке вредоносного ПО, например, программ-вымогателей и бэкдоров. И чтобы это сделать, много опыта не нужно. Достаточно всего одной строчки кода, как в ситуации с Minecraft.

Основная причина появления Log4Shell — неправильная проверка ввода. Простыми словами, сервер слишком доверяет ненадежным данным, поступающим от пользователей, что делает ваше ПО доступным для злоумышленников.

Злоумышленник может отправить строку User-Agent: $ {env: TEMPORARY_SESSION_TOKEN} вместо, например, “Google Chrome”, что может вызвать проблемы с соблюдением требований. Это обманом заставляет сервер сохранить на диск такую строку. А она, попав в логи, запускает вредоносное ПО.

Резюмируем: log4shell — опасный эксплойт, который можно установить быстро, удалённо и при этом его будет сложно обнаружить.

#log4shell #log4j #minecraft

Watch video Log4shell - угрожает Minecraft или УЯЗВИМОСТЬ НУЛЕВОГО ДНЯ online without registration, duration hours minute second in high quality. This video was added by user overbafer1 30 January 2022, don't forget to share it with your friends and acquaintances, it has been viewed on our site 390,757 once and liked it 35 thousand people.

166