Перейти к основному содержанию

Log4j — третья уязвимость CVE-2021-45105

Information Seciurity

После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили.

И тут появляется вторая уязвимость CVE-2021-45046 в той же библиотеке, для которой уже неприменимы обходные компенсационные меры. Все админы ломанулись обновлять библиотеку до выпуска 2.16. Обновили? Молодцы. Теперь обновляйте до 2.17.

В библиотеке Log4j 2 выявлена ещё одна уязвимость CVE-2021-45105 (CVSS score 7.5), которая позволяет злоумышленнику вызвать DOS для версии 2.16. Уязвимости подвержены системы, использующие при определении формата вывода в лог контекстные запросы (Context Lookup), такие как ${ctx:var}.

По данным Google, проблема затрагивает 8% от всех пакетов в репозитории Maven Central.

Темпы исправления уязвимости пока оставляют желать лучшего. Я пошёл делать бэкап ВСЕГО.

Ссылки

https://www.opennet.ru/opennews/art.shtml?num=56370

https://security-tracker.debian.org/tracker/CVE-2021-45105

https://nvd.nist.gov/vuln/detail/CVE-2021-45105

Log4j — вторая уязвимость CVE-2021-45046

Теги

 

Похожие материалы

CTF — HTTP open redirect

Привет, юный безопасник! Продолжаем решать задачки по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "HTTP - Open redirect". За решение задачки дают 10 баллов, низкая сложность.

Теги

Как покупать в Интернете и не потерять деньги?

Сейчас смотрел по телевизору очередной невысокоинтеллектуальный репортаж о том как покупать в Интернете. Это финиш, ребята. Немного погуглил — та же картина.

Теги