JavaScript

  • Проблемът с Log4j ескалира – следете за актуализации

    Разкрита е критична уязвимост в библиотеката Java Log4j (CVE-2021-44228 или „Log4shell“), последиците от която са сериозни и трудни за митигиране.

    Log4j е много популярна система за регистриране, широко използвана от разработчиците на уеб и сървърни приложения, базирани на Java и други езици за програмиране. Уязвимостта засяга голям спектър от услуги и приложения на сървърите, което я прави изключително опасна. Тя предоставя на хакерите сравнително лесен начин за дистанционен достъп до сървър на съответната организация, а оттам – до цялата мрежа.

    Вече са засечени стотици хиляди опити от 9 декември 2021 г. (когато разкритието беше оповестено) насам за дистанционно изпълнение на код, използвайки тази уязвимост. Предполага се, че тя е била експлоатирана седмици преди публичното й оповестяване. Засегнати са услуги/продукти на вендори като Cisco, VMware,  Apple, Cloudflare, Minecraft и много други.

    Какво да направите

    1. Консултирайте се с разработчиците на вашите системи, за да установите дали приложенията, които използва организацията ви са написани на Java и/или част от тях разчитат на код написан на Java.
    2. Ако това е така, проверeте дали приложенията включват уязвима версия на библиотеката Log4j – актуализирайте я до версия 2.15.0 или по-нова.
    3. Уязвимостта може да бъде смекчена и в предишни версии (2.10 и по-нови) чрез задаване на стойност „true“ на „log4j2.formatMsgNoLookups“ или премахване на класа JndiLookup от указания път.
    4. Ако използвате засегнато приложение на трета страна, уверете се, че поддържате продукта актуализиран до най-новата версия.

    Подробна информация и насоки по темата можете да откриете ТУК.

  • Бъг в Google Chrome V8 позволява отдалечено изпълнение на код

    Уязвимост CVE-2021-21227, засягаща V8 (JavaScript енджина на Google Chrome) може да позволи дистанционно изпълнение на код (RCE) в браузъра ви.

    Сам по себе си, проблемът не засяга други програми, данни и приложения на компютъра ви, освен ако не се обвърже с други уязвимости – тогава може да нанесе поражения и извън браузъра.

    В новата версия Chrome 90 са закърпени девет уязвимости, включително друг проблем с V8. Очакват се актуализации.

  • Популярна библиотека за Node.JS е била инфектирана с малуер за източване на биткойн портфейли

    Библиотека за Node.JS е била инфектирана с малуер за източване на биткойн портфейли. Кодът е останал незабелязан в продължение на поне 2 месеца в библиотека, която има почти 2 млн. сваляния седмично.

    Става дума за event-stream, която се използва от поне два биткойн портфейла – Copay и BitPay. Именно тези два портфейла са основната цел на малуера според npmjs.org – хранилище, което хоства event-stream.

    Библиотеката се използва от мобилните и настолните приложения на Copay и BitPay. Едноименният разработчик вече съобщи, че BitPay не е уязвим към зловредния код. Copay обаче е уязвим и в момента се преценява дали има пострадали потребители.

    „Ако използвате Copay версия от 5.0.2 до 5.1.0, не отваряйте и не стартирайте приложението. Подготвяме защитена версия  5.2.0, която ще е достъпна за потребителите. Те трябва да знаят, че  е възможно частните ключове на засегнатите портфейли да са компрометирани. Потребителите трябва незабавно да преместят парите си към нови портфейли, използвайки версия 5.2.0“, коментират от BitPay.

    Обновете портфейла си

    Компанията препоръчва на потребителите най-напред да обновят приложението си до най-новата безопасна версия, след което да създадат нов портфейл и да трансферират към него парите си от стария портфейл.

    Viacoin, която разработва портфейл за криптовалути, също излезе с изявление по случая. Причината е, че Viacoin използва голяма част от кода на Copay. Според разработчика на Viacoin обаче потребителите на портфейла не са засегнати от уязвимостта.

    Как е инфектирана библиотеката

    Как изобщо се е стигнало до това легитимна библиотека за Node.JS да съдържа зловреден код?

    Event-stream е създадена от разработчика Доминик Тар. Както става ясно от тази дискусия в GitHub, преди известно време с него се свързва непознат разработчик, известен засега само като right9ctrl, и предлага да поеме бъдещата разработка на библиотеката. Тар се съгласява.

    На 9 септември 2018 г. right9ctrl публикува версия 3.3.6 на event-stream. Според npmjs.com тя съдържа зловреден модул flatmap-stream, който таргетира определен тип потребители. „Кодът е написан с цел да събира данни и частни ключове от Copay портфейли, в които има повече от 100 биткойна или 1000 биткойн кеш“, коментират от npmjs.com.

    Съвети за разработчици

    Зловредната версия (3.3.6) на event-stream е свалена от npmjs.com. Ако сте я използвали във ваш проект, от npm съветват да обновите до най-новата версия.

Back to top button