NEWS

Mitigating the log4j Vulnerability (CVE-2021-44228) with NGINX

2021-12-15 KENNETH 0

Mitigating the log4j Vulnerability (CVE-2021-44228) with NGINX Friday, December 10, 2021 is a date that will be remembered by many IT folks around the globe. It’s when a highly critical zero‑day vulnerability was found in the very popular logging library for Java applications, log4j. The name “Log4Shell” was quickly coined for the exploit, and companies of all sizes rushed to implement mitigation strategies. This was followed by a patching marathon which at the time of writing is still ongoing. NGINX and F5 have analyzed the threat and in this post we offer various mitigation options to keep your applications protected. What is Log4Shell? Version 2.15 and earlier of the log4j library is vulnerable to the remote code execution (RCE) vulnerability described in CVE-2021-44228. (Version 2.16 of log4j patches the vulnerability.) Log4Shell is the name given to the exploit of this vulnerability. [ more… ]

No Image

Sea of Thieves Festival of Giving is now underway

2021-12-15 KENNETH 0

Sea of Thieves Festival of Giving is now underway Between now and Dec. 27, Sea of Thieves players can take part in the Festival of Giving, where presents are given to generous pirates who share their loot with their fellow freebooters. “During this carnival of the charitable, you can unlock new Wreath of Winter items and earn gold and Seasonal Renown by having other crews hand in your loot,” says a post on SeaOfThieves.com. Head over to the post  to find out how it all works. Source: Sea of Thieves Festival of Giving is now underway

No Image

Minecraft Dungeons releases first Seasonal Adventure: Cloudy Climb

2021-12-15 KENNETH 0

Minecraft Dungeons releases first Seasonal Adventure: Cloudy Climb The first Seasonal Adventure from Minecraft Dungeons – Cloudy Climb – has arrived, and it’s free. “Cloudy Climb – an update all about heights and aiming for the top – contains plenty of new content for climb-enthusiastic adventurers to enjoy: a mysterious tower to explore and test your skills in, the introduction of a new reward track system and many new themed cosmetic items such as skins, pets, flairs, emotes and capes,” says a new post on Minecraft.net. “And while there’s an option to purchase a second reward track, the update is otherwise completely free.” Head over to Minecraft.net for all the details and to watch the launch trailer. Or just boot up Minecraft Dungeons, where Season one is in full swing. Source: Minecraft Dungeons releases first Seasonal Adventure: Cloudy Climb

No Image

Apache Log4j용 핫패치 제공

2021-12-14 KENNETH 0

Apache Log4j용 핫패치 제공 널리 사용되는 오픈 소스 로깅 플랫폼인 Apache Log4j의 취약점인 CVE-2021-44228를 패치하거나 완화하기 위해 바쁜 주말을 보냈습니다. 영향을 받는 애플리케이션을 실행하는 사용자는 이 취약점을 해결하기 위해 Log4j를 버전 2.15로 업그레이드하는 것이 좋습니다. 그러나, 빠르게 진행하지 못하는 경우를 대비하여, (AWS가 배포하는 멀티 플랫폼 OpenJDK  버전인) Amazon Coretto 팀원들이 취약한 log4j 배포를 핫패치하는 도구를 구축하는 데 시간을 할애했습니다. 이 도구는 Log4j 2.0+를 사용하여 실행 중인 JVM을 핫패치하도록 설계되었습니다. 이 도구는 멱등성 기반으로, 초기 애플리케이션 이후의 결과를 변경하지 않고 동일한 JVM에서 이를 여러 번 실행할 수 있습니다. 또한, 실행 중인 모든 JVM을 찾고 취약점을 완화할 수 있습니다. 이를 사용하여 log4j를 종속성으로 포함하는 jar를 패치하고, 클래스 경로의 여러 log4j 인스턴스를 패치할 수도 있습니다. 핫패치 작동 방식 및 다운로드 이 도구는 실행 중인 JVM 프로세스에 Java 에이전트를 추가합니다. 본 에이전트는 “Patched JndiLookup::lookup()” 문자열을 무조건 반환하는 org.apache.logging.log4j.core.lookup.JndiLookup인스턴스의 lookup()를 패치 합니다. 메소드를 해결하도록 설계되었습니다. [ more… ]

No Image

Apache Log4j2 보안 이슈 (CVE-2021-44228) 대응 공지

2021-12-14 KENNETH 0

Apache Log4j2 보안 이슈 (CVE-2021-44228) 대응 공지 AWS에서 보안은 항상 최우선 순위입니다. 서비스를 아무리 신중하게 설계하더라도 간혹 AWS 서비스와 관련된 다양한 보안 및 개인 정보 이슈를 고객에게 알려야 하는 경우가 있습니다. 이 글은 AWS 한국 고객의 편의를 위해해당 이슈에 대한 AWS 보안 공지 및 AWS 블로그 일부를 한국어로 제공합니다. AWS 보안 공지 – Apache Log4j2 문제(CVE-2021-44228) AWS 보안 공지 – Apache Log4j2 문제 업데이트 (CVE-2021-44228) AWS 오픈소스 블로그 – Apache Log4j용 핫패치 제공 (중요) 본 공지의 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다. 업데이트 내역이 지체되는 경우도 있으므로, 반드시 영문 AWS 보안 공지을 참고하시기 바랍니다. Apache Log4j2 문제(CVE-2021-44228) 최초 작성일: 2021/12/10 오후 7:20 PDT (영어 원문) AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 파악하고, 적극적으로 모니터링 하면서 Log4j2 또는 서비스의 일부로 제공하는 부분에 대해 확인하고 있습니다. Log4j2가 [ more… ]