Проект Apache Software Foundation опубликовал очередное обновление библиотеки Log4j, закрывающее ещё одну её уязвимость — в предыдущем защита от эксплойта Log4Shell оказалась «недостаточной для определённых нестандартных конфигураций».
Источник изображения: Pete Linforth / pixabay.com
Новая уязвимость компонента отслеживается по номеру CVE-2021-45046, и формально она не такая опасная — ей присвоен рейтинг в 3,7 балла из 10. Уязвимости подвержены все версии библиотеки Log4j от 2.0-beta9 до 2.15.0. Напомним, последняя была выпущена совсем недавно, и она закрывала уязвимость CVE-2021-44228, которая поставила под угрозу сетевые ресурсы крупнейших компаний мира.
Как выяснилось, предыдущий патч закрывал уязвимость не полностью и позволял «вносить вредоносные входные данные в поиск JNDI и в результате вызывать DoS-атаку». В новой версии Log4j 2.16.0 удалена поддержка поиска, а интерфейс JNDI отключён по умолчанию.
«В ходе работы с CVE-2021-44228 выяснилось, что у JNDI серьёзные проблемы с безопасностью. Хотя мы уменьшили опасность известных проблем, пользователям было бы безопаснее отключить его по умолчанию, учитывая, что большинство едва ли вообще будет его использовать», — заявил участник проекта Apache Ральф Гоерс (Ralph Goers). JNDI (Java Naming and Directory Interface) представляет собой Java API, позволяющий приложениям производить поиск по данным и ресурсам.
Источник: 3DNews
