Nachrichten

  • Techbord - Patchfixing kritischer Log4J 0-day hat seine eigene Schwachstelle, die ausgenutzt wird

    Patchfixing kritischer Log4J 0-day hat seine eigene Schwachstelle, die ausgenutzt wird
    Vor 2 Tagen und 21 Stunden

    Wenn Sie mit Log4J 2.15.0 gepatcht haben, ist es an der Zeit, erneut zu aktualisieren. Statistik!
    Vergangenen Donnerstag erfuhr die Welt von einer wilden Ausnutzung eines kritischen Code-Execution-Zero-Day in Log4J, einem Protokollierungsdienstprogramm, das von praktisch jedem Clouddienst und Unternehmensnetzwerk der Welt verwendet wird. Open-Source-Entwickler veröffentlichten schnell ein Updat

    Weitere Informationen

    Zero Day im allgegenwärtigen Log4j-Tool stellt eine ernsthafte Bedrohung für das Internet dar 0, und dass Angreifer einen oder beide aktiv gegen reale Ziele ausnutzen, die das Update bereits angewendet haben. Die Forscher fordern Organisationen auf, so schnell wie möglich einen neuen Patch zu installieren, der als Version 2.16.0 veröffentlicht wird, um die Schwachstelle zu beheben, die als CVE-2021-45046 verfolgt wird.

    Die frühere Fehlerbehebung, sagten die Forscher am späten Dienstag, war "in bestimmten nicht standardmäßigen Konfigurationen unvollständig" und ermöglichte Angreifern Denial-of-Service-Angriffe, die es normalerweise leicht machen, anfällige Dienste vollständig offline zu nehmen, bis Opfer starten ihre Server neu oder ergreifen andere Maßnahmen.

    Am Mittwoch sagten Forscher der Sicherheitsfirma Praetorian, dass 2.15.0 eine noch schwerwiegendere Schwachstelle aufweist – eine Informationsoffenlegungslücke, die zum Herunterladen von Daten von betroffenen Servern verwendet werden kann .

    Werbung

    „In unserer Forschung haben wir gezeigt, dass 2.15.0 unter bestimmten Umständen immer noch die Exfiltration sensibler Daten ermöglichen kann“, schrieb der Prätorianer-Forscher Nathan Sportsman. „Wir haben der Apache Foundation technische Details des Problems übermittelt, aber in der Zwischenzeit empfehlen wir Kunden dringend, so schnell wie möglich auf 2.16.0 zu aktualisieren.“

    Die Forscher haben das folgende Video veröffentlicht, das zeigt ihr Proof-of-Concept-Exploit in Aktion:

    Log4j 2.15.0 ermöglicht immer noch die Exfiltration sensibler Daten.

    Forscher des Content-Delivery-Netzwerks Cloudflare sagten unterdessen am Mittwoch, dass CVE-2021-45046 jetzt aktiv genutzt wird. Das Unternehmen forderte die Leute auf, so schnell wie möglich auf Version 2.16.0 zu aktualisieren.

    Der Cloudflare-Beitrag sagte nicht, ob Angreifer die Schwachstelle nur verwenden, um DoS-Angriffe durchzuführen oder ob sie sie auch zum Stehlen ausnutzen Daten. Forscher von Cloudflare standen nicht sofort für eine Klärung zur Verfügung. Prätorianerforscher waren auch nicht sofort verfügbar, um zu sagen, ob sie von Angriffen in der Wildnis wissen, die den Datenexfiltrationsfehler ausnutzen. Sie machten auch keine zusätzlichen Details zu der Sicherheitslücke, da sie keine Informationen bereitstellen wollten, die es Hackern leichter machen würden, sie auszunutzen.

    Ein Vertreter der Apache Foundation, der Gruppe, die Log4J verwaltet , sagte, sie würden sich die Berichte von Praetorian und Cloudflare ansehen. Diese Geschichte wird aktualisiert, wenn neue Informationen dies rechtfertigen.





Neueste Nachrichten aus dem Informationstechnologie