O co chodzi w błędzie Log4j i atakach związanych z tym błędem?

Cały Internet jest zalany informacjami o “log4j”. Jeśli nadal nie do końca rozumiesz o co w tym chodzi to zobacz najnowszy film kolegi Kacpra Szurka na ten temat.

Kolega próbuje wyjaśnić podatność CVE-2021-44228 na prostym kawałku kodu.

  • Dowiesz się jak użyć Canary Tokens do wykrycia podatności w swoich aplikacjach.
  • Zobaczysz, że można wykraść zmienne środowiskowe korzystając z interactsh.
  • Pokazuję, że podatne mogą być wszystkie wersje Javy – te nowsze i te starsze.
  • Zmienna “LOG4J_FORMAT_MSG_NO_LOOKUPS” nie zawsze rozwiązuje problem.
  • Wersja 2.15.0 nie jest najlepszym rozwiązaniem.

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Ostrzeżenie CSIRT KNF. Uważaj, jeśli odwiedzałeś takie strony

CSIRT KNF zwraca uwagę, że tylko w marcu odebrano zgłoszenia ponad 6 tysięcy domen związanych z fałszywymi serwisami w sieci. Były wykorzystywane zwłaszcza na potrzeby oszustw dotyczących usług kurierskich, inwestycji czy mediów społecznościowych.

Oprogramowanie

Firefox 125 już dostępny. Autorzy zapowiadają 25% wzrost wydajności

Mozilla wypuściła aktualizację Firefox 125.0.1. Główne zmiany dotyczą zakreślania w przeglądarce PDF, kodeka AV1, kart w Firefox View, blokowania potencjalnie niezaufanych pobrań, sugestii wklejania URL, kontenerów kart i włączania WPAD. Nie zabrakło też innych, drobnych zmian i poprawek.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *