Уязвимость Log4Shell, недав­но обна­ружен­ная в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j, которая вхо­дит в сос­тав Apache Logging Project, продолжает становить только хуже.

Ранее мы рассказывали о том, как первый патч для исходной проблемы CVE-2021-44228 (версия 2.15) лишь привнес в Log4j новую RCE-уязвимость CVE-2021-45046, которая получила 9 баллов из 10 возможных по шкале оценки уязвимостей CVSS.

Из-за этого ад­минис­тра­торам нас­тоятель­но рекомендовали использовать толь­ко актуальную вер­сию 2.16 и сле­дить за даль­нейшим раз­вити­ем событий на стра­нице обновле­ний Log4j. Дело в том, что в Log4j вер­сии 2.15 были найдены и еще две менее опас­ные уяз­вимос­ти (CVE-2021-4104 и CVE-2021-42550), которые тоже были устра­нены толь­ко с релизом вер­сии 2.16.

К сожалению, версия 2.16 тоже не продержалась долго. В минувшие выходные в свет вышла Log4j версии 2.17, так как в прошлом релизе была выявлена серьезная проблема, связанная с отказом в обслуживании (DoS), получившая идентификатор CVE-2021-45105 (7,5 балла по шкале CVSS). Баг связан с тем, что Log4j не всегда защищает от бесконечной рекурсии в ходе lookup evaluation.

При этом специалисты призывают не паниковать и не спешить отказываться от использования Log4j вовсе. В частности, Джейк Уильямс, технический директор и соучредитель компании BreachQuest, комментирует:

«Не стоит удивляться тому, что в Log4j обнаруживают дополнительные уязвимости, учитывая повышенное внимание к библиотеке. Точно так же минувшим летом обнаружение уязвимости PrintNightmare привело к обнаружению множества дополнительных отдельных проблем. Обнаружение дополнительных уязвимостей в Log4j не должно вызывать беспокойства по поводу безопасности самой библиотеки. По сути, Log4j более безопасна в силу дополнительного внимания, уделяемого ей исследователями».

Источник: xakep