Перейти к основному содержанию

Log4j — вторая уязвимость CVE-2021-45046

Information Seciurity

После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили? Молодцы. Теперь обновляйте до 2.16.

Выяснилось, что исправления версии 2.15 не работают при некоторых конфигурациях, в которых при журналировании используются контекстные запросы (Context Lookup), такие как ${ctx:loginId}, или MDC-шаблоны (Thread Context Map), например, %X, %mdc и %MDC.

Уязвимость CVE-2021-45046 независимо от использования флага "log4j2.noFormatMsgLookup" или шаблона "%m{nolookups}" позволяет злоумышленнику вызвать DOS для версии 2.15 или RCE для предыдущих версий. 3.7 баллов по шкале CVSSv3.

В качестве обходного пути защиты предложено удалить класс JndiLookup из classpath (например, "zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class").

Ссылки

https://www.openwall.com/lists/oss-security/2021/12/14/4

https://www.opennet.ru/opennews/art.shtml?num=56347

Теги

 

Похожие материалы

Windows Sandbox — песочница Windows

Компания Microsoft года разработала механизм на основе технологии контейнеризации под названием Песочница, или Windows Sandbox. Данный механизм позволяет запустить в изолированной среде легковесную виртуальную машину. Легковесность обеспечивается тем, что виртуальная машина создастся на лету из файлов вашей текущей ОС Windows.

Теги