Вышло еще одно обновление для библиотеки Log4j, в которой в начале декабре обнаружили множество опасных проблем. В свежей версии 2.17.1 исправлена ​​недавно обнаруженная RCE-уязвимость CVE-2021-44832.

Уязвимости

Проблемы в популяр­ной биб­лиоте­ке журналирования Log4j, которая вхо­дит в сос­тав Apache Logging Project, останутся с нами надолго. Ранее мы подробно рассказывали о багах в Log4j в целом и исходной уязвимости Log4Shell в частности. Но позже в библиотеке были найдены дополнительные баги.

Хотя критический риск, связанный с исходным эксплоитом для Log4Shell (CVE-2021-44228), явно является основной проблемой, более мягкие варианты уязвимости были устранены в версиях 2.15 и 2.16. Затем в библиотеке был обнаружен еще одна DoS-баг, и разработчики выпустили версию 2.17.

К сожалению, разными недостатками в Log4j уже активно злоупотребляют майнеры, APT-группировки, операторы шифровальщиков (в том числе Khonsari, Conti и TellYouThePass) и другой малвари, включая известный банковский троян Dridex. При этом слож­но наз­вать ком­панию, сайт или приложе­ние, которые вов­се не исполь­зуют потен­циаль­но уяз­вимые про­дук­ты.

Свежая RCE-уязвимость CVE-2021-44832, обнаруженная в составе Log4j 2.17.0, — это уже пятый недостаток, спешно запатченный в библиотеке в этом месяце. Баг получил оценку 6,6 балла по шкале CVSS и связан с отсутствием дополнительных элементов управления доступом JNDI.

Баг обнаружил эксперт Checkmarx Янив Низри, сообщив о нем у себя в Twitter.

Издание Bleeping Computer отмечает, что ИБ-сообщество отреагировало на твит специалиста весьма бурно, так как от всё новых и новых проблем в Log4j уже устали все.

«Мы давно прошли отметку, после которой единственное, что нужно сделать — поставить гигантскую неоновую вывеску с мигающей надписью: “LOG4J НЕ МОЖЕТ БЫТЬ ИСПРАВЛЕНА, НЕ ИСПОЛЬЗУЙТЕ ЕЕ НИГДЕ”», — шутят пользователи в ответ.

Так как твит Низри не содержал почти никаких подробностей об уязвимости и ее эксплуатации, а официальных рекомендаций и памяток о новом баге еще не было, другие специалисты взялись проверять его заявление и посетовали, что информация о баге была раскрыта преждевременно.

К примеру, Марк Роджерс, вице-президент по кибербезопасности в компании Okta, сообщил, что идентификатор уязвимости — CVE-2021-44832, а использование ошибки зависит от нестандартной настройки Log4j, когда конфигурация загружается с удаленного сервера.

Пока исправленная версия 2.17.1 представлена только для Java 8, но ожидается, что в ближайшее время будут выпущены версии 2.12.4 (Java 7) и 2.3.2 (Java 6), тоже содержащие патч.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии