-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Log4j 2.17.0 – załatany został kolejny istotny błąd (DoS)

18 grudnia 2021, 11:02 | W biegu | komentarze 3
Tagi:

Zapewne sporo osób interesujących się podatnością log4shell zatrzymało się na bibliotece Log4j w wersji 2.15.0

W międzyczasie zdążyła się pojawić wersja 2.16.0 ponownie łatająca remote code execution w niestandardowych konfiguracjach (CVE-2021-45046).

Ale to nie koniec karuzeli. Właśnie pojawiła się wersja 2.17.0 biblioteki łatająca błąd klasy DoS (również w „niedomyślnych konfiguracjach”):

Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups. When the logging configuration uses a non-default Pattern Layout with a Context Lookup

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. CVE

    Artykuł zawiera nieprawdę. W 2.16.0 został załatany CVE-2021-45046, który jest podatnością DoS, a nie RCE.

    Odpowiedz
  2. Cezar

    Jeżeli dobrze rozumiem, to podatność występuje właśnie w niestandardowych konfiguracjach: „”Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups,” the ASF explained in a revised advisory. „When the logging configuration uses a non-default Pattern Layout with a Context Lookup (for example, $${ctx:loginId}), attackers with control over Thread Context Map (MDC) input data can craft malicious input data that contains a recursive lookup, resulting in a StackOverflowError that will terminate the process.”
    Źródło: https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html

    Odpowiedz

Odpowiedz na sekurak