O projeto Apache lançou outro patch para o componente Log4j. A nova versão se chama Log4j 2.17.1 e corrige uma vulnerabilidade encontrada na versão anterior. Felizmente, não é tão perigoso quanto o original.
Fonte da imagem: Gerd Altmann / pixabay.com
O componente de coleta de logs chamou a atenção no início de dezembro, quando foi descoberta uma séria vulnerabilidade nele, que permite a execução de código arbitrário em máquinas remotas com o mínimo de esforço. O erro no componente foi corrigido, mas a nova versão revelou seus próprios problemas, embora não tão perigosos. Em seguida, outra atualização saiu com os mesmos objetivos. A nova versão do Log4j 2.17.1 corrige a vulnerabilidade anterior, que recebeu o número CVE-2021-44832 e uma classificação de 6,6 em 10.
Um bug na versão anterior do componente novamente permitiu a execução remota de código – desta vez devido à falta de controles de acesso às ferramentas JDNI no Log4j. Explorar esta vulnerabilidade é muito mais difícil do que a anterior – requer acesso ao arquivo de configuração. Com sua ajuda, foi possível definir uma fonte de dados URI JNDI para execução remota de código.
Como um lembrete, vários cibercriminosos começaram a explorar a vulnerabilidade inicial do Log4Shell quase imediatamente após sua descoberta. Até mesmo o helicóptero Ingenuity Martian estava sob ameaça, e alguns hackers invadiram maciçamente os servidores HPE para minerar a criptomoeda Raptoreum.
A editora Devolver Digital e os desenvolvedores do estúdio polonês Artificer (Showgunners, Sumerian Six) anunciaram…
Interfaces cérebro-computador estão sendo cada vez mais utilizadas para restaurar funções perdidas. O psicólogo e…
A Anthropic treinou seus modelos de IA com inúmeras violações de direitos autorais, mas reagiu…
A AUO anunciou um monitor gamer de 24 polegadas com resolução Full HD e taxa…
Os preparativos aparentemente começaram para o que se espera ser a maior oferta pública inicial…
A Intel anunciou que investirá US$ 14,2 bilhões para recomprar a participação de 49% em…