Перейти к основному содержанию

Log4j — третья уязвимость CVE-2021-45105

Information Seciurity

После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили.

И тут появляется вторая уязвимость CVE-2021-45046 в той же библиотеке, для которой уже неприменимы обходные компенсационные меры. Все админы ломанулись обновлять библиотеку до выпуска 2.16. Обновили? Молодцы. Теперь обновляйте до 2.17.

В библиотеке Log4j 2 выявлена ещё одна уязвимость CVE-2021-45105 (CVSS score 7.5), которая позволяет злоумышленнику вызвать DOS для версии 2.16. Уязвимости подвержены системы, использующие при определении формата вывода в лог контекстные запросы (Context Lookup), такие как ${ctx:var}.

По данным Google, проблема затрагивает 8% от всех пакетов в репозитории Maven Central.

Темпы исправления уязвимости пока оставляют желать лучшего. Я пошёл делать бэкап ВСЕГО.

Ссылки

https://www.opennet.ru/opennews/art.shtml?num=56370

https://security-tracker.debian.org/tracker/CVE-2021-45105

https://nvd.nist.gov/vuln/detail/CVE-2021-45105

Log4j — вторая уязвимость CVE-2021-45046

Теги

Онлайн-курс по устройству компьютерных сетей

На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Реклама ИП «Скоромнов Дмитрий Анатольевич» ИНН 331403723315

 

Похожие материалы

ФПСУ-IP/Клиент на виртуальной машине VMware может привести к падению гипервизора

МЭ ФПСУ-IP/Клиент совместно с комплексами ФПСУ-IP обеспечивают надежную и устойчивую защиту информационных ресурсов системы, выполняя функции межсетевого экрана и VPN построителя. Надежность и бесперебойность функционирования комплексов ФПСУ-IP обеспечивается за счет горячего резервирования. Но есть проблемы.

Ошибка при установке Secret Net 7 — не удаётся записать значение в раздел

При установке Secret Net 7 иногда может возникнуть ошибка вида "Не удаётся записать значение в раздел". Дальше идёт указание ветки реестра и значения, которое не удаётся записать. Ошибка наблюдалась на Windows 7 x64 (и x86), а также на Windows Server 2012 R2. Инсталлятор Secret Net 7 запускался от имени администратора. Изменение прав доступа к веткам реестра не помогло решению проблемы.