Log4j — третья уязвимость CVE-2021-45105

Олег

  • 27 декабря 2021
Information Seciurity

После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили.

И тут появляется вторая уязвимость CVE-2021-45046 в той же библиотеке, для которой уже неприменимы обходные компенсационные меры. Все админы ломанулись обновлять библиотеку до выпуска 2.16. Обновили? Молодцы. Теперь обновляйте до 2.17.

В библиотеке Log4j 2 выявлена ещё одна уязвимость CVE-2021-45105 (CVSS score 7.5), которая позволяет злоумышленнику вызвать DOS для версии 2.16. Уязвимости подвержены системы, использующие при определении формата вывода в лог контекстные запросы (Context Lookup), такие как ${ctx:var}.

По данным Google, проблема затрагивает 8% от всех пакетов в репозитории Maven Central.

Темпы исправления уязвимости пока оставляют желать лучшего. Я пошёл делать бэкап ВСЕГО.

Ссылки

https://www.opennet.ru/opennews/art.shtml?num=56370

https://security-tracker.debian.org/tracker/CVE-2021-45105

https://nvd.nist.gov/vuln/detail/CVE-2021-45105

Log4j — вторая уязвимость CVE-2021-45046

Теги

💰 Поддержать проект

 

Похожие материалы

PrintNightmare — ночной кошмар Print Spooler

Олег

Information Seciurity
Привет, соскучились по обновлению винды? Это хорошо, потому как появился эксплойт для новой уязвимости CVE-2021-1675. В Интернете говорят что патч был в июне, но два часа назад вышла статья на гитхабе, где уязвимость волшебным образом применяется на полностью пропатченном контроллере домена Windows Server 2019. Кому верить?

Теги

Cisco Firepower 1150 Security Appliance — межсетевой экран

Олег

Cisco FPR-1150
После заявления Cisco о приостановке работы в России, эти железки из-за смарт-лицензий превратились в тыкву. Осталось их выкинуть, продать или каким-то неведомым образом "вылечить". Если кто-то знает приёмы нетрадиционный сетевой медицины — кидайте ссылки.

Теги

Почитать

 
Продолжая пользоваться сайтом, вы даете согласие на использование файлов cookie. Согласен