Log4Shell
|
Quest articol chì l'è scrivud in lombard, con la Noeuva Ortografia Lombarda |
Log4Shell (CVE-2021-44228) a l'è una vulnerabilità zero-day che la permet l'esecuzzion de codes arbitrari de remot a travers del popolar framework Java Log4j, nonziada del team de sigurezza de Alibaba a Apache el 24 de november 2021 e nonziada in publegh el 9 de dicember 2021, in principi doperada soratut per tacà i server de Minecraft.
Causada de 'na valutazzion impropria de 'n input minga fidad in del cas di supleghe LDAP e JNDI quand che gh'è un lookup, l'è stada ciamada "la vulnerabilità la pussee critega de la decade passada" e l'ha ricevud on pontegg de gravità CVSS de 10, o ben el pussee volt.
La permet, grazzia al JNDI, de eseguì di programa a scerna de l'atacant in su 'n server remot, e l'è donca possibel installà di malware, di ransomware o di programa spia, ma a l'è anca possibel doperàlla domà per robà di informazzion reservade del server.