Вышло обновление Log4j 2.17.1, которое закрывает прежние уязвимости

Проект Apache выпустил очередной патч для компонента Log4j. Новая версия получила название Log4j 2.17.1, и в ней закрыта уязвимость, обнаруженная в предыдущей версии. К счастью, она не столь опасна, как первоначальная.

Источник изображения: Gerd Altmann / pixabay.com

Компонент для сбора логов привлёк внимание в начале декабря, когда в нём была обнаружена серьёзная уязвимость, позволяющая с минимальными трудозатратами выполнять произвольный код на удалённых машинах. Ошибка в компоненте была исправлена, однако в новой версии обнаружились собственные проблемы, хотя и не такие опасные. Далее вышло ещё одно обновление, преследующее те же цели. В новой версии Log4j 2.17.1 исправлена уязвимость предыдущей, получившая номер CVE-2021-44832 и рейтинг 6,6 из 10.

Ошибка в предыдущей версии компонента снова позволяла выполнять удалённый код — на этот раз из-за отсутствия элементов управления доступом инструментов JDNI в Log4j. Эксплуатировать эту уязвимость намного сложнее предыдущей — для этого необходим доступ к файлу конфигурации. С его помощью открывалась возможность устанавливать источник данных JNDI URI для удалённого выполнения кода.

Напомним, многочисленные злоумышленники начали эксплуатировать первоначальную уязвимость Log4Shell практически сразу после её обнаружения. Под угрозой оказался даже марсианский вертолёт Ingenuity, а некие хакеры произвели массовый взлом серверов HPE для майнинга криптовалюты Raptoreum.

Источник: