В библиотеке журналирования Log4j 2 выявлена еще одна уязвимость

Исправление новой опасной уязвимости в нашумевшей библиотеке логирования Log4j 2 выпустила организация Apache Foundation 18 декабря. Исправленная версия 2.17 опубликована в хранилище проекта на GitHub.

Новая уязвимость получила код CVE-2021-45105. В отличие от предыдущих двух — CVE-2021-44228 и CVE-2021-45046, она отнесена к категории опасных, но не критических. Уязвимость может привести к зацикливанию процесса при обработке специальным образом подготовленных строк. В частности, это может быть строка вида «${${: -${: -$${: -j}}}}».

Проблема проявляется только на системах, где установлена виртуальная машина Java 8. Это снижается опасность уязвимости. Эксплуатация уязвимости может быть использована для организации атак типа отказ в обслуживании (DDoS).

Дополнительной опасной стороной проблемы является то, что атака может быть проведена даже на системы, не принимающие сетевые запросы непосредственно. Для этого может использована веб-страница со специальным кодом на JavaScript. Пользователю уязвимой системы будет достаточно зайти на такую страницу.

Компания Google провела исследование зависимостей других программных библиотек в хранилище Maven Central от Log4j 2. 35 863 пакета на Java или 8% от всех в хранилище Maven прямо или косвенно связаны с Log4j 2