Security Week 51: две новые уязвимости в log4j
На прошлой неделе к изначальной уязвимости в логгере Apache log4j добавились еще две. Помимо исходной CVE-2021-44228, была обнаружена дыра CVE-2021-45046. По сути, исходный патч в версии log4j 2.15 не учитывал некоторые варианты обработки логов, из-за чего возможность атаки частично сохранялась. Этой проблеме изначально присвоили низкий рейтинг, но потом подняли его до 9 баллов из 10 по шкале CVSS v3, так как были найдены способы запуска произвольного кода. Обнаружение данного бага также дало понять, что рекомендованные ранее временные способы решения проблемы на самом деле не работали.
Уязвимость была закрыта в версии 2.16.0 от 13 декабря, а уже 18 декабря вышел релиз 2.17.0, закрывающий третью уязвимость CVE-2021-45105. Это еще одна проблема с обработкой входящих данных, с помощью которой можно организовать DoS-атаку, отправив в логи сервера «волшебную строку». Частота обновлений в данном случае — скорее позитивный момент, но она явно указывает на то, что ранее код log4j недостаточно исследовался на наличие уязвимостей.
Читать дальше →
Уязвимость была закрыта в версии 2.16.0 от 13 декабря, а уже 18 декабря вышел релиз 2.17.0, закрывающий третью уязвимость CVE-2021-45105. Это еще одна проблема с обработкой входящих данных, с помощью которой можно организовать DoS-атаку, отправив в логи сервера «волшебную строку». Частота обновлений в данном случае — скорее позитивный момент, но она явно указывает на то, что ранее код log4j недостаточно исследовался на наличие уязвимостей.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Рейтинг Рунета выпустил 34 рейтинга digital-подрядчиков
- Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
- Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы
- Один на один с Rust
- Крах Builder.ai: как «революционный ИИ-стартап» оказался скамом из сотен программистов из Индии
- Compass Мессенджер: История Питера Тиля: путь от адвоката до сооснователя PayPal и инвестора, который заработал $1 млрд на Facebook*
- Как торговые сети ищут людей на смены через цифровые платформы и сколько им платят
- Управление уязвимостями: практический гайд по защите инфраструктуры
- Trust & Safety AI Meetup — как это было?
- Paranoia Mode: подборка инструментов для приватной и безопасной работы в Linux