Apache выпустила уже третий патч для закрытия уязвимости в библиотеке Log4j — второй снова не справился
Опубликовал: FIELD LINE, 20-12-2021, 03:41, Железо, 154, 0
Apache опубликовала версию 2.17.0 библиотеки Log4j, поскольку было обнаружено, что в предыдущей версии данный компонент так и не был полностью избавлен от уязвимости Log4Shell. Это уже третье обновление библиотеки после того, как впервые было заявлено о проблеме.
Как сообщила Apache, Log4j 2.16 «не всегда защищает от бесконечной рекурсии при просчёте поиска» — уязвимости прошлой версии библиотеки был присвоен номер CVE-2021-45105. При этом степень угрозы была оценена как «высокая» при оценке 7,5 балла из 10. О проблемах с релизом 2.16.0 специалисты стали сообщать ещё в пятницу, указывая на вероятность организации DoS-атаки с её помощью. Окончательный «диагноз» поставили сотрудник компании Akamai Technologies Хидеки Окамото (Hideki Okamoto) и ещё один специалист по кибербезопасности, который предпочёл остаться неизвестным.
Американское Агентство по кибербезопасности и защиты инфраструктуры (CISA) предписало всем государственным ведомствам в стране ликвидировать данную уязвимость на своих ресурсах до конца года. О проведении аналогичных мероприятий на своих системах заявили и крупные частные компании, в том числе IBM, Cisco и Vmware. А некоторые специалисты по кибербезопасности обнаружили, что хакерские группировки вроде Conti сейчас прорабатывают варианты по максимально эффективной эксплуатации уязвимости.
Источник
Как сообщила Apache, Log4j 2.16 «не всегда защищает от бесконечной рекурсии при просчёте поиска» — уязвимости прошлой версии библиотеки был присвоен номер CVE-2021-45105. При этом степень угрозы была оценена как «высокая» при оценке 7,5 балла из 10. О проблемах с релизом 2.16.0 специалисты стали сообщать ещё в пятницу, указывая на вероятность организации DoS-атаки с её помощью. Окончательный «диагноз» поставили сотрудник компании Akamai Technologies Хидеки Окамото (Hideki Okamoto) и ещё один специалист по кибербезопасности, который предпочёл остаться неизвестным.
Американское Агентство по кибербезопасности и защиты инфраструктуры (CISA) предписало всем государственным ведомствам в стране ликвидировать данную уязвимость на своих ресурсах до конца года. О проведении аналогичных мероприятий на своих системах заявили и крупные частные компании, в том числе IBM, Cisco и Vmware. А некоторые специалисты по кибербезопасности обнаружили, что хакерские группировки вроде Conti сейчас прорабатывают варианты по максимально эффективной эксплуатации уязвимости.
Источник
