Очередная уязвимость в Log4j угрожает безопасности крупных компаний, банков и госструктур

В начале декабря в библиотеке логирования Log4j была обнаружена уязвимость Log4Shell (CVE-2021-44228). Она позволяет относительно легко взламывать серверы крупных компаний, банков и госучреждений. 

После того, как стало известно о проблеме, только за первые несколько суток произошло более 800 000 атак. Суть бреши заключается в том, что если передать Log4j специально оформленную строку, библиотека бесконтрольно исполнит её как программный код. Разработчики оперативно закрыли найденную уязвимость обновлением Log4j 2.15.

Однако в Log4j была найдена ещё одна уязвимость под номером CVE-2021-45046, которая нивелирует старания разработчиков. Если хакер передаст строку не напрямую, а через промежуточную переменную, то Log4j всё равно выполнит любой код в этой строке.

Единственное решение для защиты от атак — обновить библиотеку Log4j до новейших версий 2.16 или 2.12.2, в которых разработчики устранили проблему. Однако на внедрение обновлённой версии библиотеки нужно время. 

Для справки, Log4j используется во многих Java-серверах. Потенциально атакам подвержены продукты Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD и других компаний.