Обнаружена ещё одна уязвимость в Log4j — от неё не спасает старый патч, но разработчики уже выпустили новый

Проект Apache Software Foundation опубликовал очередное обновление библиотеки Log4j, закрывающее ещё одну её уязвимость — в предыдущем защита от эксплойта Log4Shell оказалась «недостаточной для определённых нестандартных конфигураций».

Источник изображения: Pete Linforth / pixabay.com

Новая уязвимость компонента отслеживается по номеру CVE-2021-45046, и формально она не такая опасная — ей присвоен рейтинг в 3,7 балла из 10. Уязвимости подвержены все версии библиотеки Log4j от 2.0-beta9 до 2.15.0. Напомним, последняя была выпущена совсем недавно, и она закрывала уязвимость CVE-2021-44228, которая поставила под угрозу сетевые ресурсы крупнейших компаний мира.

Как выяснилось, предыдущий патч закрывал уязвимость не полностью и позволял «вносить вредоносные входные данные в поиск JNDI и в результате вызывать DoS-атаку». В новой версии Log4j 2.16.0 удалена поддержка поиска, а интерфейс JNDI отключён по умолчанию.

«В ходе работы с CVE-2021-44228 выяснилось, что у JNDI серьёзные проблемы с безопасностью. Хотя мы уменьшили опасность известных проблем, пользователям было бы безопаснее отключить его по умолчанию, учитывая, что большинство едва ли вообще будет его использовать», — заявил участник проекта Apache Ральф Гоерс (Ralph Goers). JNDI (Java Naming and Directory Interface) представляет собой Java API, позволяющий приложениям производить поиск по данным и ресурсам.

Источник: