Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Adminie… Czy znamy Twoje grzechy? ;-) Sprawdź!
log4shell (podatność w bibliotece log4j) – zapisz się na pokaz na żywo. Jak się załatać? Jak działają exploity? Co nie chroni przed atakiem?
Prawdopodobnie słyszeliście już o krytycznej podatności log4shell.
- O co chodzi z podatnością? Jakie są możliwe skutki wykorzystania?
- Jak wyglądają różne warianty ataków na tę lukę [pokazy na żywo]
- Czy nowa wersja Javy chroni przed atakami?
- Właśnie wyszła kolejna aktualizacja log4j – 2.16.0 – czy poprzednia nie łatała wszystkich problemów?
- Czy da się skutecznie zablokować podatność na WAF-ie ?
- Jak może wyglądać łatanie?
Zapisz się na live stream od sekuraka – 20.12.2021, 13:00
Prowadzący: Michał Sajdak
https://sklep.sekurak.pl/event/view?id=95
Z kodem rabatowym sekurak-edu zapisujesz się bezpłatnie (każdy otrzyma również zapis filmowy). Rozważ też opcjonalny zakup biletu o nazwie wspieram sekuraka :)
Jeśli macie dodatkowe pytania, który powinny być poruszone na wydarzeniu – piszcie w komentarzach.
~Michał Sajdak
Właśnie wyszła kolejna aktualizacja log4j – 2.16.0 – czy poprzednia nie łatała wszystkich problemów?
Aktualizacja wyszła wczoraj a nie właśnie :
2.16.0/ 2021-12-13 17:03
Zobaczcie sami na serwerach :
https://downloads.apache.org/logging/log4j/
Dla pewnych warunków nadal możliwy był RCE w wersji 2.15:
https://logging.apache.org/log4j/2.x/security.html
Dodatkowo 2.15 wprowadziło nową podatność CVE-2021-45046 (“tylko” DoS):
https://nvd.nist.gov/vuln/detail/CVE-2021-45046
Już wyszła łata do łaty, czyli wersja 2.17. Ciekawe czy to ostatnia łata.
Kod rabatowy nie działa