Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Проект Apache Software Foundation опубликовал очередное обновление библиотеки Log4j, закрывающее ещё одну её уязвимость — в предыдущем защита от эксплойта Log4Shell оказалась «недостаточной для определённых нестандартных конфигураций».
Новая уязвимость компонента отслеживается по номеру CVE-2021-45046, и формально она не такая опасная — ей присвоен рейтинг в 3,7 балла из 10. Уязвимости подвержены все версии библиотеки Log4j от 2.0-beta9 до 2.15.0. Напомним, последняя была выпущена совсем недавно, и она закрывала уязвимость CVE-2021-44228, которая поставила под угрозу сетевые ресурсы крупнейших компаний мира.
Как выяснилось, предыдущий патч закрывал уязвимость не полностью и позволял «вносить вредоносные входные данные в поиск JNDI и в результате вызывать DoS-атаку». В новой версии Log4j 2.16.0 удалена поддержка поиска, а интерфейс JNDI отключён по умолчанию.
«В ходе работы с CVE-2021-44228 выяснилось, что у JNDI серьёзные проблемы с безопасностью. Хотя мы уменьшили опасность известных проблем, пользователям было бы безопаснее отключить его по умолчанию, учитывая, что большинство едва ли вообще будет его использовать», — заявил участник проекта Apache Ральф Гоерс (Ralph Goers). JNDI (Java Naming and Directory Interface) представляет собой Java API, позволяющий приложениям производить поиск по данным и ресурсам.
Источник: