Төрт күн мурун Log4Shell Java эксплоити ачылган, бул хакерлерге Microsoft, NVIDIA жана Intel сыяктуу технологиялык гиганттарга таасир эткен зыяндуу текст саптарын жөнөтүү жана активдештирүү аркылуу ачык веб-серверлерди көзөмөлдөөгө мүмкүндүк берген. Бул эксплоит Java негизиндеги колдонмолордун ичиндеги окуяларды жана каталарды журналга алып турган ачык булактуу Apache Log4j китепканасында жайгашкан.
Log4J же Log4Shell эксплоити Java негизиндеги системаларга алыстан чабуул жасап, маанилүү маалыматтардын агып кетишин жана башкаларды ачат.
Алсыздык, ошондой эле Log4J катары белгилүү, астында көзөмөлдөнөт CVE-2021-44228, Улуттук стандарттар жана технологиялар институту же NIST тарабынан берилген. Бул эксплуатацияга мобилдик түзмөк, API же браузер терезеси аркылуу кирүүгө болот.
Intel, Microsoft жана NVIDIA сыяктуу алдыңкы технологиялык компаниялар бул өтө эффективдүү эксплуатациядан жабыр тартышкан. Intel бар тогуз арыз Java колдонгон жана бузукулукка дуушар болушат. Таасирленген Intel колдонмолорунун тизмеси келтирилген:
- Intel Audio Development Kit
- Intel Datacenter менеджери
- Eclipse үчүн oneAPI үлгү серепчи плагини
- Intel System Debugger
- Intel Secure Device Onboard (GitHub)
- Intel Genomics Kernel Library
- Intel System Studio
- Intel тарабынан тейленген Computer Vision Annotation Tool
- Intel Sensor Solution Firmware Development Kit
NVIDIA жана алардын тиркемелери жана кызматтары эң акыркы версиялары менен ырааттуу жаңыртылган табиятынан улам, эксплуатацияга байкоо жүргүзүү кыйыныраак. Компания сервер менеджерлери ырааттуу түрдө өз машиналарына эң жаңы жаңыртууларды сунуштабай турганын эске алат, ошондуктан NVIDIA Log4J таасиринин жогорку пайызына ээ болушу мүмкүн болгон төрт өнүмдөрдү тизмектейт, айрыкча, эгерде өнүмдөрдүн драйверлери чыгарылгандан бери эскирген болсо. :
- CUDA Toolkit Visual Profiler жана Nsight Eclipse Edition
- DGX системалары
- NetQ
- vGPU программалык камсыздоонун лицензия сервери
NVIDIAнын DGX ишканалык компьютерлери Ubuntu-Linux OS менен алдын ала жүктөлүп, ошондой эле эксплуатацияга каршы аялуу болгондуктан, NVIDIA системаларын дароо жаңыртуу үчүн Apache'дин Log4J функционалдуу блогун кол менен орнотууга жөндөмдүү колдонуучулар менен байланышууда.
Microsoftтун Azure Spring Cloud жана Azure DevOps тиркемесинде бар экөө тең такталган кемчилик табылгандан бери. Azure Spring Cloud системанын жүктөө процессинде жайгашкан Log4Shellдин белгилүү элементтерин колдонот. Бул эксплуатациянын мүнөзүнөн улам, система жаңыланбаса, алар аялуу болуп калат.
Кызыктуусу, AMD Log4J эксплойтинен эч кандай зыян тарткан жок. Продукт линияларын алгачкы иликтөөдөн кийин, AMD линиялардын бири да жабыркабаганын жарыялады, бирок алар аялуулугунун оордугуна байланыштуу издөөнү уланта беришет.
кызмат Log4Shell эксплоити Intel, Microsoft жана NVIDIA сыяктуу башка алдыңкы технологиялык гиганттарга таасир эткенде, AMD тайып баратат by Джейсон Р. Уилсон биринчи пайда Wccftech.
