Специалисты из MITRE обнаружили очередной баг в Apache Log4j. Все версии библиотеки, от 2.0-beta7 до 2.17.0, уязвимы к RCE. По шкале CVSS такие атаки имеют самый высокий балл — 10 из 10 возможных.
Если хакеры имеют доступ к изменению файлов конфигурации, то они могут переделать их во вредоносный код с помощью JDBC Appender и запустить через JNDI URI.
К сегодняшнему дню программисты из Apache уже выпустили патч 2.17.1. Они рекомендуют всем разработчикам обновить библиотеку до версий 2.17.1, 2.12.4 или 2.3.2, в которых проблема уже исправлена.
Однако некоторые пользователи Reddit считают, что этот баг не может эксплуатироваться, так как получить доступ к конфигурационным файлам довольно сложно.
«Если у хакера есть доступ к вашим конфигурационным файлам… То у вас проблемы гораздо серьёзнее, чем уязвимость в Log4j RCE».
«Просто уже удалите этот Log4j».
«Похоже, этот год был не самым лучшим для Log4j?»