CVE-2022-21449 - Kritikus titkosítási hiba a Java titkosító könyvtárában

Beküldte simonszoft - 2022. ápr. 21. 21:04

A héten derült ki, hogy ismét komoly hibát (CVE-2022-21449) találtak az ECDSA felhasználásával kapcsolatban most éppen a java titkosító könyvtáraiban.

Rendkívüli tájékoztató Ransomware/Malware terjesztés a Log4Shell sérülékenység kihasználásával kapcsolatban

Beküldte kami911 - 2021. dec. 16. 22:39

Az előzőleg talált: „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hiba nyomán új Log4J kiadás készült 2.16-os verziószámmal, amelyet különféle káros kódok kezdtek kihasználni:

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki a Log4Shell sérülékenység kihasználását követő ransomware, illetve egyéb káros kódok telepítésével kapcsolatban.

2021. december 9.-én ismertté vált „Log4Shell” zero-day sérülékenység (CVE-2021-44228) az Apache Log4j Java könyvtárát érinti. A távoli kódfuttatásra módot adó sérülékenység kihasználásával nemzetközi jelzések alapján a támadók többféle (például Khonsari családba tartozó) zsarolóvírust, és más (például Orcus elnevezésű távoli hozzáférést biztosító „trójai” malware-t) telepítenek a célrendszerekre.

Itt egy Log4j hiba, ami még a Minecraft-ot is érinti

Beküldte kami911 - 2021. dec. 11. 05:22

A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:
Apache Struts 2
Apache Solr
Apache Druid
Apache Flink
ElasticSearch
Flume
Apache Dubbo
Logstash
Spring-Boot-starter-log4j2
Spring és Spring Boot alapú alkalmazások
és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

iocs	Tartalmazza a kompromitálódságra utaló jeleket, mint például az IP-címek, amelyek betőrni próbálnak, stb..
mitigation	Tartalmazza a kárenyhítéssel kapcsolatos információkat, például a szkennelési tevékenység észlelésére szolgáló regexeket és egyebeket.
scanning	A Log4j sebezhetőség kereséséhez használt módszerekre és eszközökre való hivatkozásokat tartalmaz.
software	Az ismert sebezhető és nem sebezhető szoftverek listáját tartalmazza.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:

Dlog4j2.formatMsgNoLookups=true

Mentés és a mehet a játék!

Megjelent a Java 19

Beküldte kami911 - 2022. szep. 21. 23:01

Megjelent és letölthetővé vált a Java 19 (OpenJDK 19). A JDK 19 a Java SE platform 19. verziójának nyílt forráskódú referenciaimplementációja, ahogyan azt a JSR 394 a Java közösségi folyamat (Java Community Process) keretében meghatározta.

Filmajánló, nem létező filmekhez

Beküldte kami911 - 2022. aug. 14. 19:25

Filmek, amelyek nem léteznek, s mégis léteznek hozzá filmbemutatók, trailerek. Ez most egy kis könnyedebb videóválogatás, telis-tele Java, filmes és informatikai utalásokkal, humorral.

Ismerted őket? Melyik tetszik a legjobban? Te milyen hasonló tartalmakról tudsz? Küldj Te is hivatkozásokat, ha tudsz hasonlókról.

Megjelent az Apache NetBeans 13-as verziója

Beküldte kami911 - 2022. már. 05. 13:07

Megjelent az Apache NetBeans, a népszerű nyílt forráskódú integrált fejlesztőkörnyezetnek (IDE) a legújabb, 13-as verziója.

A NetBeans 13 számos új funkcióval és fejlesztéssel érkezik. Először is, a NetBeans 13 új alapértelmezett felhasználói élményt kínál a „Light FlatLaf” megjelenésen keresztül.

Újabb hibát javít a Log4J 2.16

Beküldte kami911 - 2021. dec. 15. 05:38

Az előzőleg talált: „Itt egy Log4j hiba, ami még a Minecraft-ot is érinti” hiba nyomán új Log4J kiadás készült 2.16-os verziószámmal.

Úgy találták, hogy az Apache Log4j 2.15.0-ban található CVE-2021-44228 javítás bizonyos nem alapértelmezett konfigurációkban nem volt teljes. Ez lehetővé tehette a Thread Context Map (MDC) bemeneti adatok feletti ellenőrzéssel rendelkező támadók számára, amikor a naplózási konfiguráció nem alapértelmezett Pattern Layout-ot használ, amely vagy egy Context Lookup (például $$${ctx:loginId}) vagy egy Thread Context Map mintát (%X, %mdc vagy %MDC) tartalmaz, hogy rosszindulatú bemeneti adatokat készítsenek egy JNDI Lookup minta segítségével, ami egy szolgáltatásmegtagadási (DOS) támadást eredményez. A Log4j 2.15.0 alapértelmezés szerint a JNDI LDAP-keresést a localhost-ra korlátozza. Vegye figyelembe, hogy a korábbi, konfigurációval járó enyhítések, például a log4j2.noFormatMsgLookup rendszer tulajdonság true értékre állítása NEM enyhíti ezt a konkrét sebezhetőséget.

Alchemy: interaktív rajz alkalmazás, szándékosan csökkentett funkcionalitással

Beküldte kimarite - 2019. dec. 22. 21:13

Az Alchemy rajzvászon szándékosan csökkentett funkcionalitású alkalmazás. Nincs visszavonás, nincs kiválasztás és szerkesztés. Az interakció ehelyett sokféle jó, rossz, furcsa és gyönyörű alak kinyomtatására összpontosít.

Az alkalmazás keresztplatformos, Java programozási nyelven íródott.

A JDownloader alkalmazás megjelenésének javítása a Java fontok tekintetében

Beküldte kimarite - 2018. dec. 30. 11:18

A JDownloader alkalmazás Java programnyelven íródott. A Java egyedien kezeli a fontokat, azaz a Java-s alkalmazásokban megjelenő karakterek néha csúnyák, szálkásak, vékonyak, szóval, mondjuk ki: nem szépek.

A JDownloader alkalmazás telepítése

Beküldte kimarite - 2018. dec. 03. 12:07

Ma egy videó kapcsán jutott eszembe ez a Java programnyelvben íródott, kiváló letöltés-kezelő alkalmazás, a JDownloader.

Hogyan telepítsük?

-- csomagforrásként nem érhető el

apt-cache policy jd # itt két TAB-ot nyomtam
jd         jdns       jdresolve  
jd-dbgsym  jdns-dbg   jdupes

Honlap: http://www.jdownloader.org/

Letöltés

Linux rendszerekhez: http://www.jdownloader.org/download/index

Az ABEVJAVA jelenleg nem kompatibilis a nemrég megjelent Java 9-cel

Beküldte kami911 - 2017. szep. 26. 13:29

A Nemzeti Adó- és Vámhivatal honlapján olvasható hír:

Tisztelt Adózó!

Felhívjuk figyelmét, hogy a 2017. szeptember 21-én kiadásra kerülő, Oracle új JAVA (Java SE 9, platform JDK, JRE) verziója a jelenlegi ÁNYK programmal (v2.77) nem kompatibilis.

Megjelent a Java 9

Beküldte kami911 - 2017. szep. 23. 06:47

Megjelent és letölthetővé vált a Java 9 (JDK 9) A Java 9 mellett a Java EE 8 is elérhető a fejlesztők számára. Ez az elmúlt három év legnagyobb Java kiadása, amelybe belekerült a modularizált Java, amelyet Project Jigsaw néven volt hallható. További újdonságok:

Az AbevJava már csak Java 8-cal indul

Beküldte kami911 - 2015. okt. 31. 11:03

Az NAV oldalán az alábbi üzenet olvasható:

ÁNYK - AbevJava keretprogram telepítése Linux Mint rendszerre

Beküldte csabrix - 2015. aug. 16. 14:24

A következő bejegyzésben három – általam kipróbált – módszert mutatok be arról, hogy miként telepíthető az ÁNYK - Általános Nyomtatványkitöltő program (ismertebb nevén abevjava) Linux Mint rendszerre . Az Általános Nyomtatványkitöltő telepítéséhez java környezetre van szükség. Ez lehet az oracle által terjesztett, vagy a linuxos openjdk környezet.

Ma este jön a Java a Webtudor-on

Beküldte webtudor - 2015. feb. 19. 10:11

Ahogy legutóbb is beszámoltunk ma ismét adással jelentkezik a Webtudor. Az izgalmas kezdeményezés, ingyenes oktatási lehetőség hétről-hétre körüljár egy-egy témát. A heti egyszeri online kurzusokat és az régebbi órákat is ingyen látogathatják a diákok.

java

CVE-2022-21449 - Kritikus titkosítási hiba a Java titkosító könyvtárában

Rendkívüli tájékoztató Ransomware/Malware terjesztés a Log4Shell sérülékenység kihasználásával kapcsolatban