2SDnjd76ePt
Для Log4j вышло уже третье исправление
Проблемы с Log4j все никак не заканчиваются – организация Apache Software Foundation опять выпустила новую версию своей утилиты журналирования (2.17.0), исправляющую очередную уязвимость, рассказывает SecurityLab.
Уязвимость, получившая идентификатор CVE-2021-45105 (7,5 балла по шкале оценивания опасности CVSS), позволяет вызывать отказ в обслуживании (DoS). Проблема затрагивает все версии Log4j с 2.0- alpha1 до 2.16.0. Версия 2.16.0 была выпущена на прошлой неделе с целью исправления уязвимости удаленного выполнения кода ( CVE-2021-45046 ), которая в свою очередь возникла из-за недостаточно эффективного патча для уязвимости CVE-2021-44228 , также известной как Log4Shell.
«Версии Apache Log4j2 с 2.0-alpha1 до 2.16.0 не защищены от неконтролируемой рекурсии от самореференциальных поисков. Когда конфигурация журналирования использует нестандартный макет шаблона с поиском контекста (например, $$ {ctx: loginId}), злоумышленники, у которых есть контроль над входными данными Thread Context Map (MDC), могут создать вредоносные входные данные, содержащие рекурсивный поиск, что приведет к переполнению стека и завершению процесса», - сообщается в обновленном уведомлении безопасности Apache Software Foundation.
Уязвимость была обнаружена специалистом Akamai Technologies Хидеки Окамото и анонимным исследователем безопасности.
Проблема не затрагивает версии Log4j 1.x, но стоит помнить, что они уже устарели и больше не поддерживаются разработчиками. То есть, все уязвимости, обнаруженные в утилите после августа 2015 года, остаются неисправленными.
Уязвимость, получившая идентификатор CVE-2021-45105 (7,5 балла по шкале оценивания опасности CVSS), позволяет вызывать отказ в обслуживании (DoS). Проблема затрагивает все версии Log4j с 2.0- alpha1 до 2.16.0. Версия 2.16.0 была выпущена на прошлой неделе с целью исправления уязвимости удаленного выполнения кода ( CVE-2021-45046 ), которая в свою очередь возникла из-за недостаточно эффективного патча для уязвимости CVE-2021-44228 , также известной как Log4Shell.
«Версии Apache Log4j2 с 2.0-alpha1 до 2.16.0 не защищены от неконтролируемой рекурсии от самореференциальных поисков. Когда конфигурация журналирования использует нестандартный макет шаблона с поиском контекста (например, $$ {ctx: loginId}), злоумышленники, у которых есть контроль над входными данными Thread Context Map (MDC), могут создать вредоносные входные данные, содержащие рекурсивный поиск, что приведет к переполнению стека и завершению процесса», - сообщается в обновленном уведомлении безопасности Apache Software Foundation.
Уязвимость была обнаружена специалистом Akamai Technologies Хидеки Окамото и анонимным исследователем безопасности.
Проблема не затрагивает версии Log4j 1.x, но стоит помнить, что они уже устарели и больше не поддерживаются разработчиками. То есть, все уязвимости, обнаруженные в утилите после августа 2015 года, остаются неисправленными.
похожие материалы
Platform V SOWA AI от СберТеха поможет бизнесу контролировать и безопасно масштабировать работу ИИ
Российский разработчик ПО СберТех объявляет о выводе на рынок решения Platform V SOWA AI, которое формирует новый уровень безопасности при работе с искусственным интеллектом.
Доверяй, но проверяй: даже если файл подписан Microsoft, доверять ему не всегда можно
В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest.
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.
VPN-ограничения не обрушили аудиторию, но ударили по привычке покупать «на ходу»
Аудитория крупных российских сервисов, ограничивших доступ пользователям с включенным VPN, в апреле почти не изменилась или снизилась в пределах 5%.
Банковскую карту теперь «прикладывают» через чужой телефон
Специалисты обнаружили два новых семейства Android-вредоносов для NFC-relay-атак - DevilNFC и NFCMultiPay.
NVIDIA закрыла 13 уязвимостей в драйверах GPU - часть могла привести к выполнению кода
NVIDIA выпустила майское обновление безопасности для GPU Display Drivers, закрывающее 13 уязвимостей в драйверах для Windows и Linux.
В GitHub признали факт взлома платформы
Веб-сервис GitHub взломали, в результате чего злоумышленники получили несанкционированный доступ к внутренним репозиториям.
Минпромторг усомнился в происхождении российских процессоров
Минпромторг попросил привлекать дополнительных экспертов к проверке российских процессоров «Иртыш» компании «Трамплин Электроникс».
ИИ добрался до цепочек эксплойтов: Cloudflare показала, что изменил Mythos
Cloudflare несколько недель тестировала Claude Mythos Preview от Anthropic на собственном коде и запустила модель более чем на 50 репозиториях.
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.
