Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Log4j 2.17.0 – załatany został kolejny istotny błąd (DoS)
Zapewne sporo osób interesujących się podatnością log4shell zatrzymało się na bibliotece Log4j w wersji 2.15.0
W międzyczasie zdążyła się pojawić wersja 2.16.0 ponownie łatająca remote code execution w niestandardowych konfiguracjach (CVE-2021-45046).
Ale to nie koniec karuzeli. Właśnie pojawiła się wersja 2.17.0 biblioteki łatająca błąd klasy DoS (również w „niedomyślnych konfiguracjach”):
Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups. When the logging configuration uses a non-default Pattern Layout with a Context Lookup
~Michał Sajdak
Artykuł zawiera nieprawdę. W 2.16.0 został załatany CVE-2021-45046, który jest podatnością DoS, a nie RCE.
-> Bug in Log4j 2.15.0 also RCE: Severity raised to 9.0
https://thestack.technology/bug-in-log4j-2-15-0/
Jeżeli dobrze rozumiem, to podatność występuje właśnie w niestandardowych konfiguracjach: „”Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups,” the ASF explained in a revised advisory. „When the logging configuration uses a non-default Pattern Layout with a Context Lookup (for example, $${ctx:loginId}), attackers with control over Thread Context Map (MDC) input data can craft malicious input data that contains a recursive lookup, resulting in a StackOverflowError that will terminate the process.”
Źródło: https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html