Обнаружена ещё одна уязвимость в Log4j — от неё не спасает старый патч, но разработчики уже выпустили новый » mogilew.by
 

Обнаружена ещё одна уязвимость в Log4j — от неё не спасает старый патч, но разработчики уже выпустили новый

Обнаружена ещё одна уязвимость в Log4j — от неё не спасает старый патч, но разработчики уже выпустили новый
Проект Apache Software Foundation опубликовал очередное обновление библиотеки Log4j, закрывающее ещё одну её уязвимость — в предыдущем защита от эксплойта Log4Shell оказалась «недостаточной для определённых нестандартных конфигураций».




Источник изображения: Pete Linforth / pixabay.com

Новая уязвимость компонента отслеживается по номеру CVE-2021-45046, и формально она не такая опасная — ей присвоен рейтинг в 3,7 балла из 10. Уязвимости подвержены все версии библиотеки Log4j от 2.0-beta9 до 2.15.0. Напомним, последняя была выпущена совсем недавно, и она закрывала уязвимость CVE-2021-44228, которая поставила под угрозу сетевые ресурсы крупнейших компаний мира.
Как выяснилось, предыдущий патч закрывал уязвимость не полностью и позволял «вносить вредоносные входные данные в поиск JNDI и в результате вызывать DoS-атаку». В новой версии Log4j 2.16.0 удалена поддержка поиска, а интерфейс JNDI отключён по умолчанию.

«В ходе работы с CVE-2021-44228 выяснилось, что у JNDI серьёзные проблемы с безопасностью. Хотя мы уменьшили опасность известных проблем, пользователям было бы безопаснее отключить его по умолчанию, учитывая, что большинство едва ли вообще будет его использовать», — заявил участник проекта Apache Ральф Гоерс (Ralph Goers). JNDI (Java Naming and Directory Interface) представляет собой Java API, позволяющий приложениям производить поиск по данным и ресурсам.
Источник:
3DNews
рейтинг: 
  • Не нравится
  • +10
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости