Apache выпустила уже третий патч для закрытия уязвимости в библиотеке Log4j — второй снова не справился

Apache опубликовала версию 2.17.0 библиотеки Log4j, поскольку было обнаружено, что в предыдущей версии данный компонент так и не был полностью избавлен от уязвимости Log4Shell. Это уже третье обновление библиотеки после того, как впервые было заявлено о проблеме.

Источник изображения: Pete Linforth / pixabay.com

Как сообщила Apache, Log4j 2.16 «не всегда защищает от бесконечной рекурсии при просчёте поиска» — уязвимости прошлой версии библиотеки был присвоен номер CVE-2021-45105. При этом степень угрозы была оценена как «высокая» при оценке 7,5 балла из 10. О проблемах с релизом 2.16.0 специалисты стали сообщать ещё в пятницу, указывая на вероятность организации DoS-атаки с её помощью. Окончательный «диагноз» поставили сотрудник компании Akamai Technologies Хидеки Окамото (Hideki Okamoto) и ещё один специалист по кибербезопасности, который предпочёл остаться неизвестным.

Американское Агентство по кибербезопасности и защиты инфраструктуры (CISA) предписало всем государственным ведомствам в стране ликвидировать данную уязвимость на своих ресурсах до конца года. О проведении аналогичных мероприятий на своих системах заявили и крупные частные компании, в том числе IBM, Cisco и Vmware. А некоторые специалисты по кибербезопасности обнаружили, что хакерские группировки вроде Conti сейчас прорабатывают варианты по максимально эффективной эксплуатации уязвимости.