Az Internet Security Research Group (ISRG) a Let's Encrypt, a Divvi Up és a Prossimo mögött álló nonprofit szervezet. 2013 óta a Let's Encryptet a világ legnagyobb tanúsítványkiállítóvá vált. Különösen nagy pillanat volt, amikor a Let's Encrypt átlépte a 300 000 000 kiszolgált webhelyet.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki a Log4Shell sérülékenység kihasználását követő ransomware, illetve egyéb káros kódok telepítésével kapcsolatban.
2021. december 9.-én ismertté vált „Log4Shell” zero-day sérülékenység (CVE-2021-44228) az Apache Log4j Java könyvtárát érinti. A távoli kódfuttatásra módot adó sérülékenység kihasználásával nemzetközi jelzések alapján a támadók többféle (például Khonsari családba tartozó) zsarolóvírust, és más (például Orcus elnevezésű távoli hozzáférést biztosító „trójai” malware-t) telepítenek a célrendszerekre.
A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:
A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:
Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.
Javítás a Minecraft-ban
A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:
A Graphite egy érdekes vektorgrafikus szerkesztő, új és nagyon jól használható. Bár még alfa állapotban van, de már minden olyan eszközt megtalálhatunk benne, amire szükségünk lehet. Webes felületen. Így akinek nincs feltétlen szüksége egy Insckape tudására ki tudja próbálni mindenféle telepítés nélkül. A program egy fejlesztés alatt álló 2D-s grafikus szerkesztő, amely teljesen ingyenes és nyílt forráskódú, mesterséges intelligencia által működtetett vektorgrafikus szerkesztő. Arra összpontosít, hogy teljesen problémamentes WYSIWYG szerkesztési élményt nyújtson.
Úgy találták, hogy az Apache Log4j 2.15.0-ban található CVE-2021-44228 javítás bizonyos nem alapértelmezett konfigurációkban nem volt teljes. Ez lehetővé tehette a Thread Context Map (MDC) bemeneti adatok feletti ellenőrzéssel rendelkező támadók számára, amikor a naplózási konfiguráció nem alapértelmezett Pattern Layout-ot használ, amely vagy egy Context Lookup (például $$${ctx:loginId}) vagy egy Thread Context Map mintát (%X, %mdc vagy %MDC) tartalmaz, hogy rosszindulatú bemeneti adatokat készítsenek egy JNDI Lookup minta segítségével, ami egy szolgáltatásmegtagadási (DOS) támadást eredményez. A Log4j 2.15.0 alapértelmezés szerint a JNDI LDAP-keresést a localhost-ra korlátozza. Vegye figyelembe, hogy a korábbi, konfigurációval járó enyhítések, például a log4j2.noFormatMsgLookup rendszer tulajdonság true értékre állítása NEM enyhíti ezt a konkrét sebezhetőséget.
Noha idén Novemberben, nincs túl rossz idő, és érdemes a lehető legtöbb időt a szabadban tölteni, ajánlok pár konferenciát, amelyek miatt talán érdemes mégis az előadótermek zsúfoltságát választani a megszerezhető tudást mérlegelve.