Четвёртая серьёзная уязвимость в Log4j — день сурка продолжается

Снова весь интернет под угрозой, а хакеры могут запускать произвольный код удалённо.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Специалисты из MITRE обнаружили очередной баг в Apache Log4j. Все версии библиотеки, от 2.0-beta7 до 2.17.0, уязвимы к RCE. По шкале CVSS такие атаки имеют самый высокий балл — 10 из 10 возможных.

Если хакеры имеют доступ к изменению файлов конфигурации, то они могут переделать их во вредоносный код с помощью JDBC Appender и запустить через JNDI URI.

К сегодняшнему дню программисты из Apache уже выпустили патч 2.17.1. Они рекомендуют всем разработчикам обновить библиотеку до версий 2.17.1, 2.12.4 или 2.3.2, в которых проблема уже исправлена.

Однако некоторые пользователи Reddit считают, что этот баг не может эксплуатироваться, так как получить доступ к конфигурационным файлам довольно сложно.

«Если у хакера есть доступ к вашим конфигурационным файлам… То у вас проблемы гораздо серьёзнее, чем уязвимость в Log4j RCE».

«Просто уже удалите этот Log4j».

«Похоже, этот год был не самым лучшим для Log4j?»

Читайте также:

Попробуйте бесплатно 4 топовых направления в IT

Переходите в Telegram и откройте доступ к бесплатным IT-курсам. Попробуйте себя в Python, Java, тестировании ПО, SQL и Excel. Определите, какое направление вам подходит, и получите подарки.