Apache выпустила уже третий патч для закрытия уязвимости в библиотеке Log4j — второй снова не справился

Опубликовал: FIELD LINE, 20-12-2021, 03:41, Железо, 154, 0
Apache опубликовала версию 2.17.0 библиотеки Log4j, поскольку было обнаружено, что в предыдущей версии данный компонент так и не был полностью избавлен от уязвимости Log4Shell. Это уже третье обновление библиотеки после того, как впервые было заявлено о проблеме.



Как сообщила Apache, Log4j 2.16 «не всегда защищает от бесконечной рекурсии при просчёте поиска» — уязвимости прошлой версии библиотеки был присвоен номер CVE-2021-45105. При этом степень угрозы была оценена как «высокая» при оценке 7,5 балла из 10. О проблемах с релизом 2.16.0 специалисты стали сообщать ещё в пятницу, указывая на вероятность организации DoS-атаки с её помощью. Окончательный «диагноз» поставили сотрудник компании Akamai Technologies Хидеки Окамото (Hideki Okamoto) и ещё один специалист по кибербезопасности, который предпочёл остаться неизвестным.

Американское Агентство по кибербезопасности и защиты инфраструктуры (CISA) предписало всем государственным ведомствам в стране ликвидировать данную уязвимость на своих ресурсах до конца года. О проведении аналогичных мероприятий на своих системах заявили и крупные частные компании, в том числе IBM, Cisco и Vmware. А некоторые специалисты по кибербезопасности обнаружили, что хакерские группировки вроде Conti сейчас прорабатывают варианты по максимально эффективной эксплуатации уязвимости.

Источник
  • Не нравится
  • 0
  • Нравится

Похожие публикации
У данной публикации еще нет комментариев. Хотите начать обсуждение?

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Российская вакцина от COVID-19 вам кажется безопасной?
Игровые сервера
c400's CS:Source Servers (CSS):
Развлекательный портал, since 2006
c400.ru - развлекательно юмористический портал
Год основания 2006, а может и раньше...