fbpx
0.3 C
София

Излезе актуализацията Log4j 2.17.1, която коригира предишни уязвимости

Най-четени

Светослав Димитров
Светослав Димитровhttps://www.kaldata.com/
Занимава се със създаване на съдържание за уеб от 2009 г. с над 9000 написани новини за Калдата. Интересува се от SMM, Афилиейт и др.

Проектът Apache пусна още един пач за компонента Log4j. Новата версия се казва Log4j 2.17.1 и коригира уязвимост, открита в предишната версия. За щастие, тя не е толкова опасна като първоначалната.

Компонентът за събиране на логове привлече вниманието в началото на декември, когато в него беше открита сериозна уязвимост, позволяваща изпълнение на произволен код от отдалечени машини. Грешката в компонента беше отстранена, но новата версия разкри свои проблеми, макар и не толкова опасни. След това излезе друга актуализация със същите цели. Новата версия Log4j 2.17.1 коригира предишната уязвимост, която получи номер CVE-2021-44832 и оценка 6,6 от 10.

Грешка в предишната версия на компонента отново позволи дистанционното изпълнение на код – този път поради липсата на елементи за управление на достъпа до инструмента JDNI в Log4j. Експлоатацията на тази уязвимост е много по-трудна от предишната – изисква се достъп до конфигурационния файл. С негова помощ беше възможно задаването на източник на данни JNDI URI за отдалечено изпълнение на код.

Напомняме, че многобройните киберпрестъпници започнаха да използват първоначалната уязвимост на Log4Shell почти веднага след като тя беше открита. Под опасност дори се оказа марсианският хеликоптер Ingenuity, а някои хакери масово атакуваха HPE-сървърите за копаене на криптовалутата Raptoreum.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини