Упдг log point что это
Тендер: Строительство объекта «Совмещенная площадка удаленного пункта досмотра грузов и транспорта (УПДГ) и пункта регистрации грузового транспорта (LOG Point), предназначенная для проведения чемпионата мира по футболу FIFA 2018 года»
Предмет закупки:
| Наименование товара, работы, услуги | Код по ОКПД2 | Единица измерения | Количество | Цена за ед.изм. | Стоимость |
| Строительство объекта «Совмещенная площадка удаленного пункта досмотра грузов и транспорта (УПДГ) и пункта регистрации грузового транспорта (LOG Point), предназначенная для проведения чемпионата мира по футболу FIFA 2018 года» | 42.11.20.000 | УСЛ ЕД | 1.00 | 55 281 110 | 55 281 110 |
| Итого: | 55 281 110 |
Почтовый адрес: Российская Федерация, 400066, Волгоградская обл, Волгоград г, УЛ НОВОРОССИЙСКАЯ, ДОМ 15
Ответственное должностное лицо: Ярославцев Павел Александрович
Адрес электронной почты: zayavki34@volganet.ru
Номер контактного телефона: 8-8442-353602
Место доставки товара, выполнения работ и оказания услуг: Российская Федерация, Волгоградская обл
Размер обеспечения заявок: 1658433.30
Размер обеспечения исполнения контракта: 13820277.50
Работы строительные по строительству автомагистралей, автомобильных дорог, улично-дорожной сети и прочих автомобильных или пешеходных дорог, и взлетно-посадочных полос аэродромов
код_к—>
С ООО «ПЕРЕСВЕТ-РЕГИОН-ДОН» за последнее время были заключены контракты:
Закупки заказчика «КОМИТЕТ ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ВОЛГОГРАДСКОЙ ОБЛАСТИ»
Критическая уязвимость в библиотеке Apache Log4j
В библиотеке Apache Log4j найдена уязвимость, которой присвоен максимальный уровень опасности — CVSS 10. Рассказываем, как защититься.
В интернете появились новости о критической уязвимости CVE-2021-44228 в библиотеке Apache Log4j (уровень опасности 10 из 10 по шкале CVSS). Эта библиотека используется миллионами Java-приложений для регистрации сообщений об ошибках. Что еще хуже, злоумышленники уже активно используют эту уязвимость в атаках. Поэтому Apache Foundation рекомендует всем разработчикам обновить библиотеку до версии 2.15.0, а если это невозможно, воспользоваться одним из методов, описанных на странице Apache Log4j Security Vulnerabilities.
Чем опасна уязвимость CVE-2021-44228
Уязвимость CVE-2021-44228, также получившая названия Log4Shell и LogJam, относится к классу Remote Code Execution. Если злоумышленникам удастся проэксплуатировать ее на одном из компьютеров, то они смогут исполнять на нем произвольный код. Потенциально это позволит им захватить полный контроль над системой.
Что делает CVE-2021-44228 особенно опасной — это простота эксплуатации: успешную атаку через эту уязвимость может осуществить даже неопытный хакер. По словам исследователей, злоумышленникам достаточно заставить приложение записать в лог всего одну строку, в результате чего им удастся подгрузить в приложение собственный код из-за функции message lookup substitution.
В Интернете уже можно найти рабочие доказательства осуществимости (PoC) атак при помощи CVE-2021-44228. Поэтому неудивительно, что различные компании, работающие в сфере кибербезопасности, уже регистрируют массовое сканирование сети в поисках уязвимых приложений, а также атаки на ханипоты.
Обнаружена уязвимость исследователем Ченом Жаожуном (Chen Zhaojun) из Alibaba Cloud Security Team.
Что такое Apache Log4J и почему эта библиотека так распространена?
Apache Log4j — это часть проекта Apache Logging Project, библиотека, которая служит для ведения логов. По большому счету, ее применение является одним из самых простых способов ведения журнала ошибок, поэтому большинство Java-разработчиках применяют именно ее.
Библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter. Из-за настолько широкой распространенности библиотеки, исследователи ожидают увеличение количества атак на уязвимые серверы в течении следующих нескольких дней.
Какие версии библиотеки Log4j уязвимы и как защитить серверы от атак?
Уязвимы практически все версии Log4j, начиная с 2.0-beta9 и заканчивая 2.14.1. Самый простой и эффективный метод защиты от Log4Shell — установка наиболее свежей версии библиотеки, 2.15.0. Скачать ее можно на страничке проекта.
Если это по каким-то причинам невозможно, то в случае с версиями библиотеки от 2.10 до 2.14.1 Apache Foundation рекомендует установить системное свойство log4j2.formatMsgNoLookups, или же присвоить переменной окружения LOG4J_FORMAT_MSG_NO_LOOKUPS значение true.
Кроме того, мы рекомендуем не забывать о необходимости установки защитных решений на серверы — во многих случаях это позволит выявить запуск вредоносного кода и остановить развитие атаки.
Выпущен экстренный патч для критической уязвимости в Log4j
Злоумышленники уже сканируют Сеть на предмет приложений, которые могут быть уязвимы к атакам Log4Shell.
Организация Apache Software Foundation выпустила экстренное обновление безопасности, исправляющее уязвимость удаленного выполнения кода ( CVE-2021-44228 ) в библиотеке Java Log4j. Библиотека обеспечивает возможности ведения журналов.
Уязвимость Log4Shell получила максимальную оценку в 10 баллов по шкале CVSSv3, поскольку ее можно использовать удаленно, и для выполнения кода не требуется особых технических навыков. Критическая опасность связана с повсеместным присутствием Log4j почти во всех основных корпоративных приложениях и серверах на базе Java. Например, Log4j включена почти во все корпоративные продукты, выпущенные Apache Software Foundation, такие как Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и пр. Другие проекты с открытым исходным кодом (Redis, ElasticSearch, Elastic Logstash, Ghidra от АНБ) также используют библиотеку в той или иной мере.
CVE-2021-44228 затрагивает версии log4j между 2.0-beta-9 и 2.14.1. Проблема отсутствует в версии log4j 1 и исправлена в версии 2.15.0.
По словам экспертов из компании LunaSec, серверы Apple, Amazon, Twitter, Steam, Tencent, Baidu, DIDI, JD, NetEase и, возможно, тысячи других компаний подвержены данной уязвимости.
По словам ИБ-экспертов, злоумышленники уже сканируют Сеть на предмет приложений, которые могут быть уязвимы к атакам Log4Shell.
Больше подробностей об уязвимости также можно узнать из блога Cloudflare.
Log4Shell/Leak4J — чрезвычайно опасная уязвимость в log4j2
Последние пару дней (и ночей) я изучал новую (чрезвычайно опасную) уязвимость в log4j2 под названием Log4Shell.
Это касается всех версий log4j-core от 2.0-beta9 до 2.14.1, и это очень серьезная проблема.
Эта уязвимость позволяет злоумышленнику удаленно выполнить код в вашей системе с возможностью получить полный контроль над базовыми серверами.
Log4J долгое время был наиболее часто используемым фреймворком для ведения журналов в среде Java. Он чрезвычайно широко используется, и у этой атаки есть самый широкий триггер, который вы можете себе представить: ей нужно что-то зарегистрировать.
Вредоносный код может быть доставлен МНОГИМИ способами, если они попадают в оператор логирования. Через управляемые пользователем поля, HTTP-запросы, URL-адреса, ВСЕ что угодно.
Атака
После написания некоторого кода (вредоносный встроенный сервер LDAP) я смог воспроизвести атаку RCE («Удаленное выполнение кода») даже на самый простой проект.
Вот пример: простая конечная точка REST в стартовом проекте Spring Boot с единственной строкой регистрации.
Как видите, код загружает и выполняет файл классов, распечатывающего сообщение, который я загружаю с вредоносного сервера LDAP (работающего удаленно).
Я не буду делиться вредоносным кодом, он слишком прост в настройке и злоупотреблении. Есть лучшие и более простые способы проверить, уязвимо ли ваше программное обеспечение. Например, с помощью этого инструмента от Trend Micro.
Возможные риски
Риски этой уязвимости:
Потеря ВСЕХ данных
Потеря ключей / секретов AWS / Kubernetes
Исправление
Вариант 1. Если вы еще этого не сделали: обновите log4j-core до версии> = 2.16.0.
Используйте версию 2.16.0 вместо 2.15.0, это решает проблему более строго.
Сделайте то же самое для всех транзитивных зависимостей (!).
Но будьте ВНИМАТЕЛЬНЫ: этот флаг был реализован в log4j2, начиная с версии 2.10.0. Если у вас более старая версия, это не сработает.
Вариант 3. удалить JndiLookup.class
Также можно удалить org.apache.logging.log4j.core.lookup.JndiLookup из файлов JAR log4j. Я не рекомендую делать это, если вы хотите пойти по этому пути. Вероятно, проще просто перейти на>=2.16.0.
Не вариант:
Более новая версия Java
Я видел в Интернете предложения, что «новые» версии Java не затронуты, но это не так. Даже с последними версиями Java и с установленным значением trustURLCodebase = false все равно можно украсть данные (например, переменные среды) и десериализовать объекты, уже известные загрузчику классов. Это упрощает запуск других десериализационных RCE.
Это может быть немного сложнее/безопаснее в более новой версии Java, но это определенно НЕ исправление.
Чтобы показать это, я взял последнюю версию Java 8 (1.8.311) и использую десериализацию log4j2 для создания чего-то, что открывает калькулятор на моем MacBook с использованием других классов, известных уязвимой цели:
Опять же: загружаемый объект все еще десериализуется в последней версии Java.
Вы были скомпрометированы
Отлично, вы обновили и устранили проблему. Однако: не останавливайтесь на достигнутом, это всего лишь первый шаг.
Эта утечка была известна и использовалась в течение долгого времени, вероятно, за несколько недель до того, как стала достоянием общественности. И если даже я смогу использовать его за пару минут с помощью собственного вредоносного кода: любой сможет.
Итак, вот что еще вам нужно сделать:
Шаг 1. Обновите и устраните утечку
Шаг 2: Предполагая, что все украдено: замените все ключи
Шаг 3: Войдите в вашу систему и проанализируйте записи в лог файлах
Шаг 4: Если вы настроили инфраструктуру как код: восстановите вашу среду
Шаг 4. Повторно разверните все свои приложения
Мы ДОЛЖНЫ отнестись к этому серьезно. Мне не хотелось бы услышать или прочитать через пару месяцев, что какая-то компания забыла исправить свое программное обеспечение.
Присоединяйтесь к нашей встрече
«Понимание Log4Shell: уязвимости, атаки и способы их устранения (прямая трансляция)»
Среда, 15 декабря 2021 г., 20:00 CET
Примечание переводчика. К сожалению встреча уже прошла. Но есть презентация ее организаторов и вероятно будет выложена запись.
Дальнейшее чтение:
Вот несколько ссылок для получения дополнительной информации:
В библиотеке Log4j нашли новую уязвимость, против которой не помогают исправления безопасности Статьи редакции
У тысяч компаний, банков и госструктур остаётся только один способ защититься от хакеров и вирусов — перейти на самую последнюю версию библиотеки, что может затянуться надолго.
9 декабря в библиотеке логирования для программ на языке Java нашли уязвимость, которая позволяет минимальными усилиями взламывать серверы крупных компаний, банков и госучреждений. Программы на Java популярны в корпоративном секторе, а библиотеку Log4j использует большинство программ на Java для ведения логов — она пишет о том, что происходит в программе. Например, ведёт статистику пользователей в онлайн-игре или интернет-банке.
Оказалось, если передать Log4j специально оформленную строку, библиотека бесконтрольно исполнит её как программный код. Это крайне опасная и очень доступная уязвимость, даже начинающие хакеры могут через неё взламывать интернет-сервисы, онлайн-игры и корпоративные сети вроде Apple iCloud и Amazon. Только за первые трое суток после известия о Log4Shell произошло более 800 тысяч атак с попытками её использовать. В основном уязвимостью пользуются вирусы-шифровальщики и майнеры криптовалют.
Разработчики оперативно выпустили обновление Log4j 2.15 и порекомендовали изменить настройки Log4j, чтобы отключить часть функций. Однако только что обнаруженная уязвимость CVE-2021-45046 делает все эти меры бесполезными. Если передавать строку не напрямую, а через промежуточную переменную — библиотека Log4j так же бесконтрольно выполнит любой код в этой строке.
Остаётся только один способ, чтобы защититься от атаки: обновить библиотеку Log4j до новейших версий 2.16 или 2.12.2. В них разработчики полностью убрали возможность подставлять в строки специально оформленный код. Однако могут пройти недели и месяцы, прежде чем бизнес и госструктуры обновят библиотеку Log4j в своих программах, а некоторые корпоративные приложения могут быть вовсе необновляемы.
Злоумышленники могут получить удаленный контроль над серверами и веб-приложениями, а также компьютерами и гаджетами пользователей: в большинстве случаев специальные знания для такой атаки не нужны.
Почему прогромисты такие криворукие и не могут ничего написать без багов?
Потому что заняты подсчётом зарплат и путешествиями
Они 7 часов из 8 просто пиздят по видеосвязи.
@qq это кубометр денег в твой огород
А ты способен предсказать все возможные потенциальные опасности когда идешь в магазин за хлебом?
Только я в 100% случаев дохожу до магазина безопасно, а айтишники в 100% опасно.
Но ты не то сравнил. Почему архитекторы и конструкторы строят здания без багов и они внезапно не падают, а айфтишники не могут сраные буквы с цифрами написать и учесть все опасности
Он может сходить в магазин за хлебом без багов, я видел
Когда он идет в магазин за хлебом, ему не надо рассматривать риски разгерметизации модуля МКС.
Ребята я сам программист не всё так однозначно
Есть подходы, языки, практики, которые уменьшают количество багов, или даже исключают целые классы ошибок. В среднем IT движется в этом направлении, и с годами например языки программирования становятся безопаснее.
Однако у этого есть цена. Платят либо производительностью софта, либо производительностью труда, либо так или иначе другими затратами. В обычный коммерческий софт внедряется то что выгодно (сильно спасает и не в разы сложнее). Ракеты говорят по-другому пишут.
Надо понимать что Log4j это либа уровня «чувак сел написал пока делал свою настоящую работу».
Именно. И примечательность ситуации именно в том, что в результате она стала де-факто мировым стандартом с известным результатом.
Потому что пора отвыкать делать работу по принципу good enough, что на русский переводится как «на отъе. сь».
Не, надо наоборот привыкать так делать. Только эта ошибка не про то, так как тут всё сделано слишком хорошо и даже больше, чем нужно. Сделали бы good enough, никто бы не заморачивался с исполнением кода в логах
Почему ты думаешь что людям, которые делали эту либу заплатили и почему ты считаешь что бесплатно надо работать на 100%?
Вот с фига, я работаю программистом за 600$ на мне все и бд и интерфейс и бизнес логика и тестирование и бонусом еще и тех поддержка, ты серьезно думаешь что за эти деньги я буду полноценно все тестировать и писать код по всем стандартам, да не кто не будет, и честно говоря в моем случае работодателю дешевле потерять некоторое количество денег из за глюка, которые если явно всплывет то я исправлю максимум за пару дней, чем нанять отдельно фронт и бэк программиста, тестировщика и техподдержку.
Возможно и та библиотека изначально писалась по этому принципу.
Что ты хочешь от 20-летних дядек программистов?
Вот тебе контрибьюторы в либу за 10 лет.
Те условно софт с миллионами пользователей поддерживают 4 человека. Причём я даже не уверен, что это основная их работа
Банально, невъебенная сложность. Корпоративный продукт это десятки и сотни мегабайт кода, плюс еще в несколько раз больше в библиотеках. Эквивалент тому, чтобы написать целую библиотеку книг, без единой ошибки и логической нестыковки в них. Есть различные техники и приёмы, которые облегчают задачу, но даже в софте для Апполо были баги, а там было по современным меркам ниочём кода.
Но конкретно с log4j, сама возможность вычисления выражений через рефлекшен в языке, где отсуствуют внутренние уровни доверия — это идиотизм непередаваемого уровня, хуже чем SQL иньекции, эпическая криворукость и безотвественность.
А кто тебе сказал, что это баг?
не знаю, может потому что прогромистов не существует
Вы находитесь в контексте софта, к которому постоянно ищут пути, как сломать. Это борьба копья и щита.
Эту квартиру могут подорвать соседи, включившие газ под вами. Эту квартиру может снести упавший кран. Эту квартиру могут отжать черные риэлторы.