Вышли патчи для новой RCE-уязвимости в Apache Log4j

Вышли патчи для новой RCE-уязвимости в Apache Log4j

Вышли патчи для новой RCE-уязвимости в Apache Log4j

Разработчики Apache Software Foundation (ASF) выпустили новую серию патчей, которые должны справиться с уязвимостью в Apache Log4j, допускающей удалённое выполнение кода. Фактически это уже пятая брешь, выявленная в популярном инструменте для логирования.

Уязвимость получила идентификатор CVE-2021-44832 и 6,6 балла по шкале CVSS. Согласно опубликованной информации, этот баг затрагивает версии фреймворка от 2.0-alpha7 до 2.17.0.

Представители ASF рекомендуют обновить версию Log4j, объясняя, что атакующие могут создать вредоносный файл конфигурации с помощью JDBC Appender. Для этого у злоумышленников должны быть права на модификацию этого файла.

ASF не отметила экспертов, обнаруживших эту проблему, однако Янив Низри из Checkmarx заявил, что именно он выявил баг и сообщил о нём 27 декабря. Также Низри подчеркнул, что использовать CVE-2021-44832 в атаке куда сложнее, чем изначальную дыру — CVE-2021-44228.

Напомним, что в середине месяца стало известно о второй уязвимости в Log4j — возможности обхода первого патча. На следующий день специалисты начали говорить о третьем баге и параллельной эксплуатации второго.