Перейти к основному содержанию

Log4j — вторая уязвимость CVE-2021-45046

Information Seciurity

После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили? Молодцы. Теперь обновляйте до 2.16.

Выяснилось, что исправления версии 2.15 не работают при некоторых конфигурациях, в которых при журналировании используются контекстные запросы (Context Lookup), такие как ${ctx:loginId}, или MDC-шаблоны (Thread Context Map), например, %X, %mdc и %MDC.

Уязвимость CVE-2021-45046 независимо от использования флага "log4j2.noFormatMsgLookup" или шаблона "%m{nolookups}" позволяет злоумышленнику вызвать DOS для версии 2.15 или RCE для предыдущих версий. 3.7 баллов по шкале CVSSv3.

В качестве обходного пути защиты предложено удалить класс JndiLookup из classpath (например, "zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class").

Ссылки

https://www.openwall.com/lists/oss-security/2021/12/14/4

https://www.opennet.ru/opennews/art.shtml?num=56347

Теги

 

Похожие материалы

ПАК АК-сервер — аппаратное средство проверки фискальных признаков

Видел уникальную железку, детище компании Атлас-карт. АК-сервер (HSM) — это только часть программно-аппаратного комплекса. Расскажу о плюсах и минусах с точки зрения системного администрирования.

Маршрутизатор Dionis DPS-3006

Dionis DPS-3006 — это современный российский маршрутизатор, сертифицированный ФСТЭК (МЭ2, НДВ2, СОВ2) и ФСБ (СКЗИ КС1, КС3) России. Ну как российский, ПО российское на базе ядра Linux, а железо сделано в Тайване американской компанией American Portwell Technology, Inc, модель CAR-3040. Маршрутизатор является частью ПАК Дионис NX. Программно-аппаратный комплекс включает в себя маршрутизатор и управляющее его работой ПО Dionis NX.