После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили.
И тут появляется вторая уязвимость CVE-2021-45046 в той же библиотеке, для которой уже неприменимы обходные компенсационные меры. Все админы ломанулись обновлять библиотеку до выпуска 2.16. Обновили? Молодцы. Теперь обновляйте до 2.17.
В библиотеке Log4j 2 выявлена ещё одна уязвимость CVE-2021-45105 (CVSS score 7.5), которая позволяет злоумышленнику вызвать DOS для версии 2.16. Уязвимости подвержены системы, использующие при определении формата вывода в лог контекстные запросы (Context Lookup), такие как ${ctx:var}.
По данным Google, проблема затрагивает 8% от всех пакетов в репозитории Maven Central.
Темпы исправления уязвимости пока оставляют желать лучшего. Я пошёл делать бэкап ВСЕГО.
Ссылки
https://www.opennet.ru/opennews/art.shtml?num=56370
https://security-tracker.debian.org/tracker/CVE-2021-45105
