java

simonszoft képe

CVE-2022-21449 - Kritikus titkosítási hiba a Java titkosító könyvtárában

A héten derült ki, hogy ismét komoly hibát (CVE-2022-21449) találtak az ECDSA felhasználásával kapcsolatban most éppen a java titkosító könyvtáraiban.

kami911 képe

Rendkívüli tájékoztató Ransomware/Malware terjesztés a Log4Shell sérülékenység kihasználásával kapcsolatban

Az előzőleg talált: „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hiba nyomán új Log4J kiadás készült 2.16-os verziószámmal, amelyet különféle káros kódok kezdtek kihasználni:

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki a Log4Shell sérülékenység kihasználását követő ransomware, illetve egyéb káros kódok telepítésével kapcsolatban.

2021. december 9.-én ismertté vált „Log4Shell” zero-day sérülékenység (CVE-2021-44228) az Apache Log4j Java könyvtárát érinti. A távoli kódfuttatásra módot adó sérülékenység kihasználásával nemzetközi jelzések alapján a támadók többféle (például Khonsari családba tartozó) zsarolóvírust, és más (például Orcus elnevezésű távoli hozzáférést biztosító „trójai” malware-t) telepítenek a célrendszerekre.

kami911 képe

Itt egy Log4j hiba, ami még a Minecraft-ot is érinti

A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

  • A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

  • Apache Struts 2
  • Apache Solr
  • Apache Druid
  • Apache Flink
  • ElasticSearch
  • Flume
  • Apache Dubbo
  • Logstash
  • Spring-Boot-starter-log4j2
  • Spring és Spring Boot alapú alkalmazások
  • és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

iocs Tartalmazza a kompromitálódságra utaló jeleket, mint például az IP-címek, amelyek betőrni próbálnak, stb..
mitigation Tartalmazza a kárenyhítéssel kapcsolatos információkat, például a szkennelési tevékenység észlelésére szolgáló regexeket és egyebeket.
scanning A Log4j sebezhetőség kereséséhez használt módszerekre és eszközökre való hivatkozásokat tartalmaz.
software Az ismert sebezhető és nem sebezhető szoftverek listáját tartalmazza.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

  • A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
  • Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
  • Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:
Dlog4j2.formatMsgNoLookups=true
  • Mentés és a mehet a játék!
kami911 képe

Hamis böngésző frissítés ígéretével terjesztenek WarmCookie malwaret

Egy új, „FakeUpdate” csalási kampány francia felhasználókat céloz meg, és kompromittált weboldalakat felhasználva hamis böngésző és alkalmazás-frissítéseket jelenít meg számukra, amelyek valójában a WarmCookie backdoor új verzióját terjesztik. A FakeUpdate egy olyan támadási stratégia, amit a SocGolish nevű fenyegetési csoport előszeretettel alkalmaz.

kami911 képe

Filmajánló, nem létező filmekhez

Filmek, amelyek nem léteznek, s mégis léteznek hozzá filmbemutatók, trailerek. Ez most egy kis könnyedebb videóválogatás, telis-tele Java, filmes és informatikai utalásokkal, humorral.

Ismerted őket? Melyik tetszik a legjobban? Te milyen hasonló tartalmakról tudsz? Küldj Te is hivatkozásokat, ha tudsz hasonlókról.

kami911 képe

Megjelent az OpenJDK Java 23 többek között ZGC-vel alapértelmezésként

Az OpenJDK Java 23 hivatalosan is megérkezett, számos újítással és fejlesztéssel, beleértve a Z Garbage Collector (ZGC) generációs módját, amely alapértelmezés szerint aktív. Az új verzió rengeteg továbbfejlesztést kínál, amelyeket érdemes megismerni a Java fejlesztőknek.

kami911 képe

Az Ubuntu Linux részére a GraalVM csomagoláson dolgozik a Canonical

A Canonical azon dolgozik, hogy az OpenJDK Java mellett az Oracle GraalVM is elérhető legyen Ubuntu Linux alatt, ezzel kibővítve a Java ökoszisztémát. A GraalVM számos további funkcióval bír, mint például a natív előzetes fordítás (ahead-of-time compilation), és több programozási nyelvet támogat.

kami911 képe

Filmajánló, nem létező filmekhez

Filmek, amelyek nem léteznek, s mégis léteznek hozzá filmbemutatók, trailerek. Ez most egy kis könnyedebb videóválogatás, telis-tele Java, filmes és informatikai utalásokkal, humorral.

Ismerted őket? Melyik tetszik a legjobban? Te milyen hasonló tartalmakról tudsz? Küldj Te is hivatkozásokat, ha tudsz hasonlókról.

kami911 képe

Megjelent a Java 21

Megjelent és letölthetővé vált a Java 21 (OpenJDK 21). A JDK 21 a Java SE platform 21. verziójának nyílt forráskódú referenciaimplementációja, ahogyan azt a JSR 394 a Java közösségi folyamat (Java Community Process) keretében meghatározta. A 2021-es JDK 17 óta az első olyan kiadás, amely hosszú távú támogatást (LTS) nyújt.

kami911 képe

Are you pretty fly for a WIldfly?

A WildFly 28.0 egy frissített verziója az open source, szerveroldali alkalmazásokhoz kifejlesztett alkalmazás-szervernek, amely több új funkcióval és fejlesztéssel rendelkezik, mint elődei. A következőkben felsoroljuk ezeket az újításokat, amelyek segítségével az alkalmazásfejlesztők és a rendszergazdák még hatékonyabban dolgozhatnak az alkalmazásokkal.

A WildFly 28 legnagyobb változásai az observability területéhez kapcsolódnak. A Micrometer subsystem hozzáadták a szabványos WildFly-hoz. Az új verzió további fejlesztéseket is tartalmaz az Artemis, az EE Concurrency, az Infinispan query, counters, locks, CDI, alrendszerekhez és a YAML támogatás a rendszer tulajdonságainak és konfigurációs testreszabásának, a MicroProfile LRA és Telemetry támogatás, valamint a Micrometer támogatás az alap WildFly-hoz. Az új verzió az Elytron által biztosított SSLContext támogatását is tartalmazza az Artemis-hez.

Megjelent az OpenJDK Java 20 legújabb vektor API-val, a hatókörös értékekkel

A mai naptól általánosan elérhető az OpenJDK Java 20 frissítés, amely számos új funkciót tartalmaz.

Az OpenJDK Java 20 inkubációs API-ként bemutatja a hatókörös értékeket. A Java hatókörös értékei lehetővé teszik a megváltoztathatatlan adatok megosztását a szálakon belül és a szálak között, és előnyben részesítik a szál helyi változóival szemben. A Java hatókörös értékek célja, hogy könnyen használhatóak, érthetőek, robusztusak és hatékonyak legyenek.

kami911 képe

Megjelent a Java 19

Megjelent és letölthetővé vált a Java 19 (OpenJDK 19). A JDK 19 a Java SE platform 19. verziójának nyílt forráskódú referenciaimplementációja, ahogyan azt a JSR 394 a Java közösségi folyamat (Java Community Process) keretében meghatározta.

kami911 képe

Filmajánló, nem létező filmekhez

Filmek, amelyek nem léteznek, s mégis léteznek hozzá filmbemutatók, trailerek. Ez most egy kis könnyedebb videóválogatás, telis-tele Java, filmes és informatikai utalásokkal, humorral.

Ismerted őket? Melyik tetszik a legjobban? Te milyen hasonló tartalmakról tudsz? Küldj Te is hivatkozásokat, ha tudsz hasonlókról.

kami911 képe

Megjelent az Apache NetBeans 13-as verziója

Megjelent az Apache NetBeans, a népszerű nyílt forráskódú integrált fejlesztőkörnyezetnek (IDE) a legújabb, 13-as verziója.

A NetBeans 13 számos új funkcióval és fejlesztéssel érkezik. Először is, a NetBeans 13 új alapértelmezett felhasználói élményt kínál a „Light FlatLaf” megjelenésen keresztül.

kami911 képe

Újabb hibát javít a Log4J 2.16

Az előzőleg talált: „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hiba nyomán új Log4J kiadás készült 2.16-os verziószámmal.

Úgy találták, hogy az Apache Log4j 2.15.0-ban található CVE-2021-44228 javítás bizonyos nem alapértelmezett konfigurációkban nem volt teljes. Ez lehetővé tehette a Thread Context Map (MDC) bemeneti adatok feletti ellenőrzéssel rendelkező támadók számára, amikor a naplózási konfiguráció nem alapértelmezett Pattern Layout-ot használ, amely vagy egy Context Lookup (például $$${ctx:loginId}) vagy egy Thread Context Map mintát (%X, %mdc vagy %MDC) tartalmaz, hogy rosszindulatú bemeneti adatokat készítsenek egy JNDI Lookup minta segítségével, ami egy szolgáltatásmegtagadási (DOS) támadást eredményez. A Log4j 2.15.0 alapértelmezés szerint a JNDI LDAP-keresést a localhost-ra korlátozza. Vegye figyelembe, hogy a korábbi, konfigurációval járó enyhítések, például a log4j2.noFormatMsgLookup rendszer tulajdonság true értékre állítása NEM enyhíti ezt a konkrét sebezhetőséget.

Oldalak

Feliratkozás RSS - java csatornájára