Скидки до 55% и 3 курса в подарок 0 дней 09 :23 :01 Выбрать курс
Код
#новости

Четвёртая серьёзная уязвимость в Log4j — день сурка продолжается

Снова весь интернет под угрозой, а хакеры могут запускать произвольный код удалённо.

Специалисты из MITRE обнаружили очередной баг в Apache Log4j. Все версии библиотеки, от 2.0-beta7 до 2.17.0, уязвимы к RCE. По шкале CVSS такие атаки имеют самый высокий балл — 10 из 10 возможных.

Если хакеры имеют доступ к изменению файлов конфигурации, то они могут переделать их во вредоносный код с помощью JDBC Appender и запустить через JNDI URI.

К сегодняшнему дню программисты из Apache уже выпустили патч 2.17.1. Они рекомендуют всем разработчикам обновить библиотеку до версий 2.17.1, 2.12.4 или 2.3.2, в которых проблема уже исправлена.

Однако некоторые пользователи Reddit считают, что этот баг не может эксплуатироваться, так как получить доступ к конфигурационным файлам довольно сложно.

«Если у хакера есть доступ к вашим конфигурационным файлам… То у вас проблемы гораздо серьёзнее, чем уязвимость в Log4j RCE».

Скриншот: Reddit

«Просто уже удалите этот Log4j».

Скриншот: Reddit

«Похоже, этот год был не самым лучшим для Log4j?»

Скриншот: Reddit

Попробуйте бесплатно 4 топовых направления в IT

Переходите в Telegram и откройте доступ к бесплатным IT-курсам. Попробуйте себя в Python, Java, тестировании ПО, SQL и Excel. Определите, какое направление вам подходит, и получите подарки.

Пройти курс
4 бесплатных курса для старта в IT ➞
Переходите в Telegram и пройдите 4 курса по топовым направлениям IT. Определите, какая сфера вам ближе, и сделайте первый шаг к новой профессии.
Пройти курс→
Понравилась статья?
Да

Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪

Ссылка скопирована