✔Вышла Log4j версии 2.17.1, в библиотеке исправили еще одну RCE-уязвимость - «Новости»

09 января 2022 744 Вёрстка / Новости / Отступы и поля / Преимущества стилей / Сайтостроение / Текст 0

Уязвимости

Проблемы в популярной библиотеке журналирования Log4j, которая входит в состав Apache Logging Project, останутся с нами надолго. Ранее мы подробно рассказывали о багах в Log4j в целом и исходной уязвимости Log4Shell в частности. Но позже в библиотеке были найдены дополнительные баги.

Хотя критический риск, связанный с исходным эксплоитом для Log4Shell (CVE-2021-44228), явно является основной проблемой, более мягкие варианты уязвимости были устранены в версиях 2.15 и 2.16. Затем в библиотеке был обнаружен еще одна DoS-баг, и разработчики выпустили версию 2.17.

К сожалению, разными недостатками в Log4j уже активно злоупотребляют майнеры, APT-группировки, операторы шифровальщиков (в том числе Khonsari, Conti и TellYouThePass) и другой малвари, включая известный банковский троян Dridex. При этом сложно назвать компанию, сайт или приложение, которые вовсе не используют потенциально уязвимые продукты.

Свежая RCE-уязвимость CVE-2021-44832, обнаруженная в составе Log4j 2.17.0, — это уже пятый недостаток, спешно запатченный в библиотеке в этом месяце. Баг получил оценку 6,6 балла по шкале CVSS и связан с отсутствием дополнительных элементов управления доступом JNDI.

Баг обнаружил эксперт Checkmarx Янив Низри, сообщив о нем у себя в Twitter.

Stay tuned for a blogpost ;) pic.twitter.com/D56WpVsuF3
— Yaniv Nizry (@YNizry) December 28, 2021

Издание Bleeping Computer отмечает, что ИБ-сообщество отреагировало на твит специалиста весьма бурно, так как от всё новых и новых проблем в Log4j уже устали все.

«Мы давно прошли отметку, после которой единственное, что нужно сделать — поставить гигантскую неоновую вывеску с мигающей надписью: “LOG4J НЕ МОЖЕТ БЫТЬ ИСПРАВЛЕНА, НЕ ИСПОЛЬЗУЙТЕ ЕЕ НИГДЕ”», — шутят пользователи в ответ.

Так как твит Низри не содержал почти никаких подробностей об уязвимости и ее эксплуатации, а официальных рекомендаций и памяток о новом баге еще не было, другие специалисты взялись проверять его заявление и посетовали, что информация о баге была раскрыта преждевременно.

К примеру, Марк Роджерс, вице-президент по кибербезопасности в компании Okta, сообщил, что идентификатор уязвимости — CVE-2021-44832, а использование ошибки зависит от нестандартной настройки Log4j, когда конфигурация загружается с удаленного сервера.

Looks like log4j CVE-2021-44832 has non default preconditions: “You are loading configuration from a remote server and/or someone can hijack/modify your log4j configuration file You are using the JDBC log appender with a dynamic URL address.”
— Marc Rogers (@marcwrogers) December 28, 2021

Пока исправленная версия 2.17.1 представлена только для Java 8, но ожидается, что в ближайшее время будут выпущены версии 2.12.4 (Java 7) и 2.3.2 (Java 6), тоже содержащие патч.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Вышло еще одно обновление для библиотеки Log4j, в которой в начале декабре обнаружили множество опасных проблем. В свежей версии 2.17.1 исправлена недавно обнаруженная RCE-уязвимость CVE-2021-44832. Уязвимости Проблемы в популярной библиотеке журналирования Log4j, которая входит в состав Apache Logging Project, останутся с нами надолго. Ранее мы подробно рассказывали о багах в Log4j в целом и исходной уязвимости Log4Shell в частности. Но позже в библиотеке были найдены дополнительные баги. Хотя критический риск, связанный с исходным эксплоитом для Log4Shell (CVE-2021-44228), явно является основной проблемой, более мягкие варианты уязвимости были устранены в версиях 2.15 и 2.16. Затем в библиотеке был обнаружен еще одна DoS-баг, и разработчики выпустили версию 2.17. К сожалению, разными недостатками в Log4j уже активно злоупотребляют майнеры, APT-группировки, операторы шифровальщиков (в том числе Khonsari, Conti и TellYouThePass) и другой малвари, включая известный банковский троян Dridex. При этом сложно назвать компанию, сайт или приложение, которые вовсе не используют потенциально уязвимые продукты. Свежая RCE-уязвимость CVE-2021-44832, обнаруженная в составе Log4j 2.17.0, — это уже пятый недостаток, спешно запатченный в библиотеке в этом месяце. Баг получил оценку 6,6 балла по шкале CVSS и связан с отсутствием дополнительных элементов управления доступом JNDI. Баг обнаружил эксперт Checkmarx Янив Низри, сообщив о нем у себя в Twitter. Stay tuned for a blogpost ;) pic.twitter.com/D56WpVsuF3 — Yaniv Nizry (@YNizry) December 28, 2021 Издание Bleeping Computer отмечает, что ИБ-сообщество отреагировало на твит специалиста весьма бурно, так как от всё новых и новых проблем в Log4j уже устали все. «Мы давно прошли отметку, после которой единственное, что нужно сделать — поставить гигантскую неоновую вывеску с мигающей надписью: “LOG4J НЕ МОЖЕТ БЫТЬ ИСПРАВЛЕНА, НЕ ИСПОЛЬЗУЙТЕ ЕЕ НИГДЕ”», — шутят пользователи в ответ. Так как твит Низри не содержал почти никаких подробностей об уязвимости и ее эксплуатации, а официальных рекомендаций и памяток о новом баге еще не было, другие специалисты взялись проверять его заявление и посетовали, что информация о баге была раскрыта преждевременно. К примеру, Марк Роджерс, вице-президент по кибербезопасности в компании Okta, сообщил, что идентификатор уязвимости — CVE-2021-44832, а использование ошибки зависит от нестандартной настройки Log4j, когда конфигурация загружается с удаленного сервера. Looks like log4j CVE-2021-44832 has non default preconditions: “You are loading configuration from a remote server and/or someone can hijack/modify your log4j configuration file You are using the JDBC log appender with a dynamic URL address.”— Marc Rogers (@marcwrogers) December 28, 2021 Пока исправленная версия 2.17.1 представлена только для Java 8, но ожидается, что в ближайшее время будут выпущены версии 2.12.4 (Java 7) и 2.3.2 (Java 6), тоже содержащие патч.