Организация Apache Software Foundation (ASF) выпустила свежие обновления, исправляющие очередную уязвимость в библиотеке журналирования Log4j. Уязвимость позволяет злоумышленнику удаленно выполнить код на уязвимой системе и является уже пятой по счету проблемой в Log4j, исправленной в течение месяца, говорит SecurityLab.
Проблема получила идентификатор CVE-2021-44832 и оценку 6,6 балла из 10 по шкале оценивания опасности уязвимостей. CVE-2021-44832 присутствует во всех версиях библиотеки, начиная от 2.0-alpha7 и заканчивая 2.17.0, за исключением 2.3.2 и 2.12.4. Хотя проблема не затрагивает версии Log4j 1.x, пользователя все равно рекомендуется обновиться до Log4j 2.3.2 (для Java 6), 2.12.4 (для Java 7) или 2.17.1 (для Java 8 и выше).
Как сообщается в уведомлении безопасности ASF, злоумышленник с разрешением на изменение конфигурационного файла журналирования может установить вредоносные настройки конфигурации с помощью JDBC Appender с ссылкой на источник данных JNDI URL, который может удаленно выполнить код. Проблема исправлена путем ограничения имен источников данных JNDI до протокола java в версиях Log4j 2.17.1, 2.12.4 и 2.3.2.
Хотя ASF не указала, кто обнаружил уязвимость, по словам исследователя безопасности компании Checkmarx Янива Низри (Yaniv Nizry), проблему вывил именно он и сообщил о ней Apache 27 декабря.
«Эту уязвимость намного сложнее проэксплуатировать, чем оригинальную CVE-2021-44228 , поскольку для этого у атакующего должен быть контроль над конфигурацией. В отличие от Logback, в Log4j есть функция загрузки удаленного конфигурационного файла или настройки конфигурации журнала через код, что позволяет выполнить произвольный код с помощью MitM-атаки, и ввод данных пользователем заканчивается уязвимой переменной конфигурации или изменением конфигурационного файла», - сообщил Низри.
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
Meta* начнет использовать данные о действиях пользователей на сторонних сайтах и в приложениях для персонализации ленты, рекомендаций и ответов ИИ-ассистента.
