Jump to content

Для Log4j вышло уже третье исправление


security147

Recommended Posts

Для Log4j вышло уже третье исправление

08:01 / 20 Декабря, 2021 2021-12-20T09:01:43+03:00

Alexander Antipov

Версия 2.17.0 исправляет уязвимость отказа в обслуживании.

https://www.securitylab.ru/upload/iblock/a04/a04c6ad178eddc421ea676e0df367f22.png

Проблемы с Log4j все никак не заканчиваются – организация Apache Software Foundation опять выпустила новую версию своей утилиты журналирования (2.17.0), исправляющую очередную уязвимость.

Уязвимость, получившая идентификатор CVE-2021-45105 (7,5 балла по шкале оценивания опасности CVSS), позволяет вызывать отказ в обслуживании (DoS). Проблема затрагивает все версии Log4j с 2.0- alpha1 до 2.16.0. Версия 2.16.0 была выпущена на прошлой неделе с целью исправления уязвимости удаленного выполнения кода ( CVE-2021-45046 ), которая в свою очередь возникла из-за недостаточно эффективного патча для уязвимости CVE-2021-44228 , также известной как Log4Shell.

«Версии Apache Log4j2 с 2.0-alpha1 до 2.16.0 не защищены от неконтролируемой рекурсии от самореференциальных поисков. Когда конфигурация журналирования использует нестандартный макет шаблона с поиском контекста (например, $$ {ctx: loginId}), злоумышленники, у которых есть контроль над входными данными Thread Context Map (MDC), могут создать вредоносные входные данные, содержащие рекурсивный поиск, что приведет к переполнению стека и завершению процесса», - сообщается в обновленном уведомлении безопасности Apache Software Foundation.

Уязвимость была обнаружена специалистом Akamai Technologies Хидеки Окамото и анонимным исследователем безопасности.

Проблема не затрагивает версии Log4j 1.x, но стоит помнить, что они уже устарели и больше не поддерживаются разработчиками. То есть, все уязвимости, обнаруженные в утилите после августа 2015 года, остаются неисправленными.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...