В Log4j исправлена пятая по счету уязвимость за месяц
Организация Apache Software Foundation (ASF) выпустила свежие обновления, исправляющие очередную уязвимость в библиотеке журналирования Log4j. Уязвимость позволяет злоумышленнику удаленно выполнить код на уязвимой системе и является уже пятой по счету проблемой в Log4j, исправленной в течение месяца, говорит SecurityLab.
Проблема получила идентификатор CVE-2021-44832 и оценку 6,6 балла из 10 по шкале оценивания опасности уязвимостей. CVE-2021-44832 присутствует во всех версиях библиотеки, начиная от 2.0-alpha7 и заканчивая 2.17.0, за исключением 2.3.2 и 2.12.4. Хотя проблема не затрагивает версии Log4j 1.x, пользователя все равно рекомендуется обновиться до Log4j 2.3.2 (для Java 6), 2.12.4 (для Java 7) или 2.17.1 (для Java 8 и выше).
Как сообщается в уведомлении безопасности ASF, злоумышленник с разрешением на изменение конфигурационного файла журналирования может установить вредоносные настройки конфигурации с помощью JDBC Appender с ссылкой на источник данных JNDI URL, который может удаленно выполнить код. Проблема исправлена путем ограничения имен источников данных JNDI до протокола java в версиях Log4j 2.17.1, 2.12.4 и 2.3.2.
Хотя ASF не указала, кто обнаружил уязвимость, по словам исследователя безопасности компании Checkmarx Янива Низри (Yaniv Nizry), проблему вывил именно он и сообщил о ней Apache 27 декабря.
«Эту уязвимость намного сложнее проэксплуатировать, чем оригинальную CVE-2021-44228 , поскольку для этого у атакующего должен быть контроль над конфигурацией. В отличие от Logback, в Log4j есть функция загрузки удаленного конфигурационного файла или настройки конфигурации журнала через код, что позволяет выполнить произвольный код с помощью MitM-атаки, и ввод данных пользователем заканчивается уязвимой переменной конфигурации или изменением конфигурационного файла», - сообщил Низри.
Теги:
похожие материалы
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.
УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений).
Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика
Роскомнадзор в ходе плановых проверок обнаружил у 33 российских операторов связи нарушения правил установки и эксплуатации технических средств противодействия угрозам (ТСПУ), которые используются для фильтрации интернет-трафика, блокировки запрещённого контента и защиты инфраструктуры.
Кибергруппа Everest заявила о краже 900 ГБ данных у Nissan
Кибергруппа, связанная с вымогательским ПО Everest, сообщила о предполагаемом взломе информационных систем японского автопроизводителя Nissan и хищении около 900 ГБ данных.
Найдена серия опасных багов в ядре Linux, влияющих на память, сеть и изоляцию процессов
Исследователи опубликовали подробный разбор группы ошибок в ядре Linux, связанных с некорректной работой с памятью и состояниями объектов ядра.
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода
В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода.
ИИ учится мыслить без данных
Исследователи представили новый подход в области искусственного интеллекта под названием Absolute Zero Reasoner (AZR) - систему, способную самостоятельно развивать навыки рассуждения без использования внешних обучающих данных.
Критическая уязвимость Ni8mare угрожает тысячам серверов n8n
Исследователи кибербезопасности выявили критическую уязвимость в популярной платформе автоматизации рабочих процессов n8n, получившую обозначение Ni8mare и присвоенный идентификатор CVE-2026-21858.
X вскоре опубликует исходный код нового алгоритма рекомендаций
Илон Маск объявил, что социальная сеть X* в течение семи дней откроет для публики исходный код своего нового алгоритма, который отвечает за рекомендации как органических, так и рекламных постов пользователям платформы.