Издадена е нова актуализация на Apache Log4j за корекция на новооткритата уязвимост – 30.12.2021

от

Софтуерната фондация Apache публикува нови корекции, които съдържат произволен дефект в изпълнението на код в Log4j, който може да бъде злоупотребен от заплахи за стартиране на злонамерен код на засегнатите системи, което го прави петият недостатък на сигурността, който трябва да бъде открит в инструмента в период от един месец.

Проследена като  CVE-2021-44832, уязвимостта е оценена с 6,6 по сериозност по скала от 10 и засяга всички версии на библиотеката за регистриране от 2.0-alpha7 до 2.17.0 с изключение на 2.3.2 и 2.12.4. Въпреки че версиите на Log4j 1.x не са засегнати, на потребителите се препоръчва да надстроят до Log4j 2.3.2 (за Java 6), 2.12.4 (за Java 7) или 2.17.1 (за Java 8 и по-нови).

Версии на Apache Log4j2 от 2.0-beta7 до 2.17.0 (с изключение на версии за корекция на сигурността 2.3.2 и 2.12.4) са уязвими към атака на отдалечено изпълнение на код (RCE), при която нападател може да промени конфигурационния файл за регистриране и да създаде злонамерена конфигурация с помощта на JDBC Appender с източник на данни, препращащ JNDI URI, който може да  изпълнява отдалечен код. Този проблем е коригиран чрез ограничаване на имената на JNDI, източници на данни до java протокола в Log4j2 версии 2.17.1, 2.12.4 и 2.3.2.

С най-новата корекция са отстранени общо четири проблема в Log4j, откакто грешката на Log4Shell излезе наяве по-рано този месец.

  • CVE-2021-44228 (CVSS резултат: 10.0) – Уязвимост при отдалечено изпълнение на код, засягаща версии на Log4j от 2.0-beta9 до 2.14.1 (поправена във версия 2.15.0)
  • CVE-2021-45046 (CVSS резултат: 9.0) – Уязвимост при изтичане на информация и отдалечено изпълнение на код, засягаща версии на Log4j от 2.0-beta9 до 2.15.0, с изключение на 2.12.2 (поправено във версия 2.16.0)
  • CVE-2021-45105 (CVSS резултат: 7,5) – Уязвимост при отказ от услуга, засягаща версии на Log4j от 2.0-beta9 до 2.16.0 (поправена във версия 2.17.0)
  • CVE-2021-4104 (CVSS резултат: 8.1) – Недостатък на десериализация, засягащ Log4j версия 1.2 (Няма налична корекция; Надстройте до версия 2.17.1)

Повече информация:

https://thehackernews.com/2021/12/new-apache-log4j-update-released-to.html