נקה את המחשב שלו: תוכנה ללכת!

izentrop · נָקוּב **izentrop** » 13/12/21, 23:52

פגם כזה יכול לקרות בעניין הזה forum לדוגמה. האם יהיה צורך לשנות את הסיסמאות?
גרסה מוזרה 2.15 מומלצת, לא זמינה להורדה? https://logging.apache.org/log4j/log4j- ... nload.html

jean.caissepas · נָקוּב **jean.caissepas** » 15/12/21, 22:38

izentrop כתב:פגם כזה יכול לקרות בעניין הזה forum לדוגמה. האם יהיה צורך לשנות את הסיסמאות?
גרסה מוזרה 2.15 מומלצת, לא זמינה להורדה? https://logging.apache.org/log4j/log4j- ... nload.html

בעבודה ב-IT (Lead Dev), יש לי קצת מידע:
- אתה רק צריך לעדכן את ספריית LOG4J של פרויקטי JAVA ולפרוס מחדש אותם מתוקנים
- יש לעדכן כמה VPNs שנכתבו ב-JAVA!
- תוכניות אחרות המבוססות על JAVA (Talend, Eclipse, Jasper Report, ...) ומשתמשות ב-LOG4J (פחות סיכון אם אינן נגישות לציבור)

הפגם יאפשר למשתמש מרוחק להחדיר - ולהפעיל - קוד לא רצוי מרחוק ולכן לגשת לקבצים בשרת, או גרוע מכך...
אם קבצי טקסט, PHP, JAVA, Shell מכילים משתמשים ברורים וסיסמא, בטוח שיהיה צורך לשנות אותם לאחר עדכון כל הפגיעויות!

קישור שמדבר על זה ביתר פירוט:
https://www.itespresso.fr/log4shell-ce- ... 61204.html

קישור לתיקון:
https://logging.apache.org/log4j/2.x/download.html
(כדי לראות אם יש צורך בשינוי גרסת JAVA בשרת)

izentrop · נָקוּב **izentrop** » 19/12/21, 01:10

זה מבאס... הכלכלה מחוסנת מהפגם הזה :?:

פריצת המחשב של Log4Shell שאילצה את ממשלת קוויבק לסגור 4000 אתרים פגיעים בסוף השבוע האחרון היא פצצת זמן אמיתית. זה מסכן את המערכות של כמעט כל עסק וכל ממשלה על פני כדור הארץ. זה מסתכן בפגיעה בארגונים במשך חודשים ובשעשע האקרים במשך שנים. משרד החקירות שלנו והמשרד הפרלמנטרי שלנו שוחחו עם כמה מומחי אבטחת מחשבים ומקורות ממשלתיים כדי להבין טוב יותר את הסיכונים של פגם זה.
מי פגיע?

"זה משפיע על כולם", אומר פטריק מתייה, המייסד השותף של Hackfest ומומחה לאבטחת מחשבים.

כל הממשלות, כל החברות, חברות קטנות ובינוניות, בנקים, חברות המציעות שירותי אינטרנט וכו'.

כמעט כולם משתמשים ברכיב הזה, לפעמים אפילו בלי לדעת זאת.

מגוגל ועד למוסך המקומי, אף אחד לא חסין.

https://www.journaldequebec.com/2021/12 ... historique

Obamot · נָקוּב **Obamot** » 19/12/21, 01:24

jean.caissepas כתב:
izentrop כתב:פגם כזה יכול לקרות בעניין הזה forum לדוגמה. האם יהיה צורך לשנות את הסיסמאות?
גרסה מוזרה 2.15 מומלצת, לא זמינה להורדה? https://logging.apache.org/log4j/log4j- ... nload.html

בעבודה ב-IT (Lead Dev), יש לי קצת מידע:
- אתה רק צריך לעדכן את ספריית LOG4J של פרויקטי JAVA ולפרוס מחדש אותם מתוקנים
- יש לעדכן כמה VPNs שנכתבו ב-JAVA!
- תוכניות אחרות המבוססות על JAVA (Talend, Eclipse, Jasper Report, ...) ומשתמשות ב-LOG4J (פחות סיכון אם אינן נגישות לציבור)

הפגם יאפשר למשתמש מרוחק להחדיר - ולהפעיל - קוד לא רצוי מרחוק ולכן לגשת לקבצים בשרת, או גרוע מכך...
אם קבצי טקסט, PHP, JAVA, Shell מכילים משתמשים ברורים וסיסמא, בטוח שיהיה צורך לשנות אותם לאחר עדכון כל הפגיעויות!

קישור שמדבר על זה ביתר פירוט:
https://www.itespresso.fr/log4shell-ce- ... 61204.html

קישור לתיקון:
https://logging.apache.org/log4j/2.x/download.html
(כדי לראות אם יש צורך בשינוי גרסת JAVA בשרת)

מושלם תודה !

הצטרף לקהילה נטולת צנזורה אלגוריתמית של חובבים, טכנאים, מדענים או מהנדסים. מודעות הוסרו לאחר ההרשמה.

נקה את המחשב שלו: תוכנה ללכת!

Re: לנקות את המחשב שלך: התוכנה שהולכת כשורה!