Новость:
Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту
Дата:
2021-12-16
В реализации подстановок JNDI в библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов.
Последние новости:
- Сторонняя организация пытается зарегистрировать торговую марку PostgreSQL в Европе и США 2021-09-14
- Осеннее обновление стартовых наборов ALT p10 2021-09-14
- Новая техника эксплуатации уязвимостей класса Spectre в Chrome 2021-09-14
- Выпуск многопользовательской RPG-игры Veloren 0.11 2021-09-14
- BitTorrent-клиент Transmission переходит с Си на Си++ 2021-09-14