Четвёртая серьёзная уязвимость в Log4j — день сурка продолжается

Снова весь интернет под угрозой, а хакеры могут запускать произвольный код удалённо.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Специалисты из MITRE обнаружили очередной баг в Apache Log4j. Все версии библиотеки, от 2.0-beta7 до 2.17.0, уязвимы к RCE. По шкале CVSS такие атаки имеют самый высокий балл — 10 из 10 возможных.

Если хакеры имеют доступ к изменению файлов конфигурации, то они могут переделать их во вредоносный код с помощью JDBC Appender и запустить через JNDI URI.

К сегодняшнему дню программисты из Apache уже выпустили патч 2.17.1. Они рекомендуют всем разработчикам обновить библиотеку до версий 2.17.1, 2.12.4 или 2.3.2, в которых проблема уже исправлена.

Однако некоторые пользователи Reddit считают, что этот баг не может эксплуатироваться, так как получить доступ к конфигурационным файлам довольно сложно.