1. За рубежом: реальный мир
  2. Информационная безопасность
Миннеаполис, / ИА Красная Весна

В печально известной библиотеке Log4j 2 устранена еще одна уязвимость

Изображение: pikist.com
Кибербезопасность
Кибербезопасность
Кибербезопасность

Обновление библиотеки журналирования Log4j 2.17.1 с исправлением уязвимости, позволяющей удаленное выполнение кода, выпущено разработчиком инструмента Apache Software Foundation 28 декабря. Изменения, внесенные в версию, сообщаются в списке рассылки проекта.

Уязвимость с кодом CVE-2021-44832 получила рейтинг опасности 6,6 из 10 баллов. Она отмечена в качестве не особо опасной, поскольку требует специфичных настроек в конфигурации библиотеки. Тем не менее, при должной настройке она позволяет добиться выполнения произвольного кода злоумышленника.

Эксплуатация уязвимости требует внесение в конфигурационный файл Log4j 2 настроек для определения внешнего центра работы с сообщениями для журнала. На целевом адресе должен быть сформирован специальный класс, который и позволит атаковать целевую систему.

Смотрите также:

Украинство, выпуск седьмой. Исторические претензии Польши на территории Украины

То есть атака на уязвимую систему требует предварительного локального доступа для внесения необходимых нетиповых изменений в конфигурацию. К тому же, уязвимость затрагивает лишь компонент log4j-core. Сервисы, опирающиеся на использование компонента log4j-api уязвимости не подвержены.

Проблема исправлена в версиях библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1.

Напомним, о критической уязвимости в популярной библиотеке журналирования Log4j 2 для проектов на языке программирования Java стало известно широкой публике 9 декабря. Уязвимость позволяла спровоцировать атакуемую систему выполнить произвольный программный код злоумышленника.

Уязвимость, помимо наивысшего балла опасности, была использована злоумышленниками раньше, чем исправлена (уязвимость нулевого дня). Поскольку Log4j 2 использует огромное число компаний по всему миру, событие стало одним из крупнейших в области информационной безопасности за последние годы.

Повышенный интерес, вызванный обнаружением критической уязвимости, привел к более детальному изучению проекта специалистами по информационной безопасности. Было выявлено еще несколько менее опасных, но далеко не безвредных, уязвимостей. Проблему содержал, как оказалось позднее, даже марсианский вертолет Ingenuity.

Миннеаполис

Аналитика

от ИА Красная Весна
ico
ico
ico
ico
ico
ico
ico