Security Week 51: две новые уязвимости в log4j

Все блоги / Про интернет 20 декабря 2021 49   
На прошлой неделе к изначальной уязвимости в логгере Apache log4j добавились еще две. Помимо исходной CVE-2021-44228, была обнаружена дыра CVE-2021-45046. По сути, исходный патч в версии log4j 2.15 не учитывал некоторые варианты обработки логов, из-за чего возможность атаки частично сохранялась. Этой проблеме изначально присвоили низкий рейтинг, но потом подняли его до 9 баллов из 10 по шкале CVSS v3, так как были найдены способы запуска произвольного кода. Обнаружение данного бага также дало понять, что рекомендованные ранее временные способы решения проблемы на самом деле не работали.



Уязвимость была закрыта в версии 2.16.0 от 13 декабря, а уже 18 декабря вышел релиз 2.17.0, закрывающий третью уязвимость CVE-2021-45105. Это еще одна проблема с обработкой входящих данных, с помощью которой можно организовать DoS-атаку, отправив в логи сервера «волшебную строку». Частота обновлений в данном случае — скорее позитивный момент, но она явно указывает на то, что ранее код log4j недостаточно исследовался на наличие уязвимостей.
Читать дальше →
  • Оцените публикацию
  • 0

Похожие публикации

@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Архив публикаций