BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2021/12/01.html

Серьезная уязвимость в Apache Log4j
dl // 11.12.21 12:13
Уязвимость CVE-2021-44228 в библиотеке Apache Log4j, используемой множеством Java-приложений для протоколирования, получила максимальный 10 уровень опасности из-за простоты своего использования и возможных последствий.

Уязвимость позволяет выполнить произвольный код при записи в лог значения, оформленного в формате {jndi:URL} (что задействует механизм масок Log4).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2021/12/01.html]
Если в качестве URL будет указан адрес атакующего, ему будет отправлен LDAP-запрос, в ответ на который может быть возвращён URL класса, который будет загружен и выполнен в контексте текущего процесса.

Ситуацию усугубляет опубликованный рабочий эксплоит. Уже сообщается об успешной атаке на один из серверов Minecraft, под раздачу попали (но уже починились) Steam, iCloud и другие сервисы.

Apache Foundation рекомендует срочно обновиться до исправленной версии 2.15.0.

Источник: LunaSec    
теги: уязвимости  |  предложить новость  |  обсудить  |  все отзывы (0) [16427]
назад «  » вперед

аналогичные материалы
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Атака в стиле Meltdown на iOS/macOS-браузеры // 25.10.23 22:40
Массовое внедрение вредоносного кода в драйверы Windows // 17.07.23 01:42
Переполнение буфера остается самой опасной уязвимостью // 30.06.23 23:32
Уязвимость в KeePass // 21.05.23 19:20
Рекордное число уязвимостей в 2021 // 28.05.22 21:06
 
последние новости
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34
TeamViewer обвинил в своем взломе русских хакеров // 29.06.24 15:31





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach