В Log4j выявлена еще одна уязвимость — возможность обхода недавнего патча

В Log4j выявлена еще одна уязвимость — возможность обхода недавнего патча

Кураторам проекта Apache Log4j вновь пришлось латать свой фреймворк для Java-приложений: оказалось, что защиту от атаки, получившей известность как Log4Shell, можно обойти при некоторых кастомных настройках журналирования. Разработчики устранили и эту уязвимость — в сборках 2.16.0 (для Java 8 и выше) и 2.12.2 (для Java 7, пока бета).

Поскольку патч для CVE-2021-44228 оказался неполным, проблеме присвоили отдельный идентификатор — CVE-2021-45046. Эксплойт вероятен для любого из прежних выпусков Log4j версии 2 и при определенных условиях позволяет вызвать состояние отказа в обслуживании (DoS).

Степень опасности уязвимости оценена как умеренная (3,7 балла по CVSS). Ветки 1.х утилиты ей не подвержены. Поскольку корнем зла оказался JAR-файл log4j-core, приложения, использующие только log4j-api, тоже вне зоны риска.

Исследователи из LunaSec отметили, что при использовании Log4j выпусков ниже 2.15 уязвимость CVE-2021-45046 может послужить новым вектором атаки Log4Shell, поэтому пользователям рекомендуется установить сборку 2.16.0.

Это нужно сделать как можно скорее: злоумышленники уже активно ищут и используют дыру Log4Shell для установки вредоносных ботов, криптомайнеров, шифровальщиков. Возможности для проведения таких атак необъятны — на Log4j полагаются сотни широко используемых бизнес-продуктов, и неспешный патчинг на местах может привести к заражению миллионов устройств по всему миру.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Прямой финансовый ущерб: Дуров критикует Apple и Google

Павел Дуров раскритиковал Apple и Google. По мнению основателя Telegram, политики техногигантов наносят финансовый ущерб сотням тысяч мобильных приложений по всему миру.

Apple уже на две недели задерживает обновление Telegram без объяснения причин и каких-либо отзывов со стороны компании, сообщил Дуров.

Он заявил, что предстоящее обновление Telegram должно “произвести революцию в том, как люди выражают свои мысли при обмене сообщениями”.

“Если так обращаются с Telegram, одним из 10 самых популярных приложений в мире, можно только представить, с какими трудностями сталкиваются небольшие разработчики приложений, — пишет Дуров. — Это не просто деморализует: это наносит прямой финансовый ущерб сотням тысяч мобильных приложений по всему миру”.

Бизнесмен в очередной раз раскритиковал комиссии Apple и Google. Речь о сборе в 30%, который компании берут с разработчиков за размещение в своих магазинах.

В июне Дуров уже обвинял Apple в намеренном ограничении веб-версий приложений. По его словам, Telegram Web не может в полной мере раскрыться на iOS-устройствах.

Apple может специально ухудшать качество веб-версий, чтобы подталкивать пользователей к скачиванию приложений из App Store, за которое она получает комиссию, считает Дуров.

Добавим, в феврале владелец Telegram раскритиковал и WhatsApp. Он назвал разработчиков мессенджера некомпетентными, предупредил пользователей о возможной утечке и рекомендовал не пользоваться сервисом.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru