A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

• A Log4j csapat tudomására jutott egy biztonsági rés, a CVE-2021-44228, amelyet a Log4j 2.15.0-ban javítottak. A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani. Rengeteg alkalmazás érintett, érintet lehet, így mindenhol, ahol Java alkalmazások vannak, ott ellenőrizni kell a Log4J 2 programkönyvtár verzióját. Az érintettséget jól mutatja ez a lista, amely az érintett cégeket jelzi. Többek között érintettek lehetnek az alábbi szoftverek:

• Apache Struts 2
• Apache Solr
• Apache Druid
• Apache Flink
• ElasticSearch
• Flume
• Apache Dubbo
• Logstash
• Spring-Boot-starter-log4j2
• Spring és Spring Boot alapú alkalmazások
• és rengeteg más Java alkalmazás. Az érintett és nem érintett szoftverek listája.

Frissítés: 2021. december 14.:

Időközben kijött a Log4J 2.16-os verzió is: https://logging.apache.org/log4j/2.x/download.html

Kiválóan rendszerezett és gyakran frissített információ, az frissített szoftverekről, támadó IP-ről, keresőeszközökről.

Frissítés: 2021. december 12.:

Sérülékenység kereső a Silent Signal-tól

Létrehoztunk egy Burp Extender bővítményt, amely aktív szkennerellenőrzésként regisztrálja magát, és kétféle hasznos terhet generál. Az egyszerűbbik csak a kiszolgálónévre tartalmaz változóbővítést, míg a bonyolultabbik a felhasználónevet is tartalmazza a USER és USERNAME használatával a Unix-szerű és a Windows operációs rendszerekkel való kompatibilitás érdekében. A szinkron interakciókat a beépített szkenner naplózza, míg egy háttérszál percenként egyszer lekérdezi a Collaborator interakciókat, hogy tesztelje a rejtett kiszolgálókat és szolgáltatásokat.

Javítás a Minecraft-ban

• A játékindítóban a ki kell választani a telepített játékot és a „...”-ra kattintani.
• Kiválasztani az „Edit” (Szerkesztés) lehetőséget, majd a „More options” („További beállítások”) lehetőségre kattintani,
• Be kell illeszteni az indító scriptnél a „-jar” elé ez a részt:

Dlog4j2.formatMsgNoLookups=true

• Mentés és a mehet a játék!

Nagyon érdekes újdonságokat szállított a Firefox-ot fejlesztő Mozilla ebben a verzióban. Ez pedig a biztonság növelésére használt RLBox. Bár a felhasználók számára ez láthatatlan, de mégis a motorháztető alatt egy érdekes koncepcióval teszi biztonságosabbá a böngésző futását.

Az asztali Firefox újdonságai

• Elkerülhetővé vált, hogy minden alkalommal, amikor a Firefox böngésző egy nem natív eseményt futtat, mindig NSEventet küldjön az eseményhurokba, ami csökkenti a WindowServer folyamat CPU-használatát.

• A Kép a képben váltógomb mostantól a videó ellentétes oldalára mozgatható az helyi menü segítségével: Kép a képben váltógomb bal (jobb) oldalra) opciójával.

• Csökkent a szoftveresen dekódolt videó energiafelhasználása macOS-en, főleg teljes képernyőn. Ez számos streaming oldalt, például a Netflix-et vagy az Amazon Prime Videót is megfigyelhető.

• Az RLBox - egy új technológia, amely a Firefox-ot hardening-gel látja el a harmadik féltől származó könyvtárak potenciális biztonsági réseivel szemben. Mostantól a RLBox minden platformon engedélyezve van.

A Firefox 95-ben egy új, RLBox nevű sandboxing technológiát adnak - amelyet a Kaliforniai San Diegói Egyetem és a Texasi Egyetem kutatóival együttműködve fejlesztett ki a Mozilla. Ez egyszerűvé és hatékonnyá teszi a részkomponensek elkülönítését a böngésző biztonságosabbá tétele érdekében. Ez a technológia új lehetőségeket nyit meg a hagyományos folyamatalapú sandboxing-gal eddig elérhető lehetőségekhez képest, és a fejlesztők nagy reményeket fűznek hozzá, illetve alig várják, hogy elterjedjen a használata, és (remélhetőleg) más böngészőkben és szoftverprojektekben is alkalmazásra kerüljön.

Ez a technika, amely a WebAssembly-t használja a potenciálisan hibás kód elkülönítésére, a tavaly a Mac és Linux felhasználóknak szállított prototípusra épül. Most ezt a technológiát az összes támogatott Firefox platformra (asztali és mobil) kiterjesztették, és a fejlesztők máris öt különböző modult izoláltat: Graphite, Hunspell, Ogg; majd a Firefox 96-ban pedig ezeket is: Expat és Woff2.