Уязвимость Log4Shell, недавно обнаруженная в популярной библиотеке журналирования Log4j, которая входит в состав Apache Logging Project, продолжает становить только хуже.
Ранее мы рассказывали о том, как первый патч для исходной проблемы CVE-2021-44228 (версия 2.15) лишь привнес в Log4j новую RCE-уязвимость CVE-2021-45046, которая получила 9 баллов из 10 возможных по шкале оценки уязвимостей CVSS.
Из-за этого администраторам настоятельно рекомендовали использовать только актуальную версию 2.16 и следить за дальнейшим развитием событий на странице обновлений Log4j. Дело в том, что в Log4j версии 2.15 были найдены и еще две менее опасные уязвимости (CVE-2021-4104 и CVE-2021-42550), которые тоже были устранены только с релизом версии 2.16.
К сожалению, версия 2.16 тоже не продержалась долго. В минувшие выходные в свет вышла Log4j версии 2.17, так как в прошлом релизе была выявлена серьезная проблема, связанная с отказом в обслуживании (DoS), получившая идентификатор CVE-2021-45105 (7,5 балла по шкале CVSS). Баг связан с тем, что Log4j не всегда защищает от бесконечной рекурсии в ходе lookup evaluation.
При этом специалисты призывают не паниковать и не спешить отказываться от использования Log4j вовсе. В частности, Джейк Уильямс, технический директор и соучредитель компании BreachQuest, комментирует:
«Не стоит удивляться тому, что в Log4j обнаруживают дополнительные уязвимости, учитывая повышенное внимание к библиотеке. Точно так же минувшим летом обнаружение уязвимости PrintNightmare привело к обнаружению множества дополнительных отдельных проблем. Обнаружение дополнительных уязвимостей в Log4j не должно вызывать беспокойства по поводу безопасности самой библиотеки. По сути, Log4j более безопасна в силу дополнительного внимания, уделяемого ей исследователями».
