O projeto Apache lançou outro patch para o componente Log4j. A nova versão se chama Log4j 2.17.1 e corrige uma vulnerabilidade encontrada na versão anterior. Felizmente, não é tão perigoso quanto o original.
Fonte da imagem: Gerd Altmann / pixabay.com
O componente de coleta de logs chamou a atenção no início de dezembro, quando foi descoberta uma séria vulnerabilidade nele, que permite a execução de código arbitrário em máquinas remotas com o mínimo de esforço. O erro no componente foi corrigido, mas a nova versão revelou seus próprios problemas, embora não tão perigosos. Em seguida, outra atualização saiu com os mesmos objetivos. A nova versão do Log4j 2.17.1 corrige a vulnerabilidade anterior, que recebeu o número CVE-2021-44832 e uma classificação de 6,6 em 10.
Um bug na versão anterior do componente novamente permitiu a execução remota de código – desta vez devido à falta de controles de acesso às ferramentas JDNI no Log4j. Explorar esta vulnerabilidade é muito mais difícil do que a anterior – requer acesso ao arquivo de configuração. Com sua ajuda, foi possível definir uma fonte de dados URI JNDI para execução remota de código.
Como um lembrete, vários cibercriminosos começaram a explorar a vulnerabilidade inicial do Log4Shell quase imediatamente após sua descoberta. Até mesmo o helicóptero Ingenuity Martian estava sob ameaça, e alguns hackers invadiram maciçamente os servidores HPE para minerar a criptomoeda Raptoreum.
O Google está meses atrasado no lançamento do Gemini 3.5 Pro, seu modelo de IA…
\nNo Japão, na semana passada, 7 de julho, foi aprovada a construção do trecho inicial…
\nNo Japão, na semana passada, 7 de julho, foi aprovada a construção do trecho inicial…
\nNo dia anterior, um evento chamado Ultimate Robot Knock-out Legend (URKL) aconteceu em Shenzhen, China.…
\nOs Emirados Árabes Unidos receberam a tão esperada permissão dos Estados Unidos para a compra…
\nPela primeira vez na história, os astrónomos conseguiram detectar a atmosfera de um planeta rochoso…