Categorias: Sem categoria

Lançada atualização do Log4j 2.17.1, que corrige vulnerabilidades anteriores

O projeto Apache lançou outro patch para o componente Log4j. A nova versão se chama Log4j 2.17.1 e corrige uma vulnerabilidade encontrada na versão anterior. Felizmente, não é tão perigoso quanto o original.

Fonte da imagem: Gerd Altmann / pixabay.com

O componente de coleta de logs chamou a atenção no início de dezembro, quando foi descoberta uma séria vulnerabilidade nele, que permite a execução de código arbitrário em máquinas remotas com o mínimo de esforço. O erro no componente foi corrigido, mas a nova versão revelou seus próprios problemas, embora não tão perigosos. Em seguida, outra atualização saiu com os mesmos objetivos. A nova versão do Log4j 2.17.1 corrige a vulnerabilidade anterior, que recebeu o número CVE-2021-44832 e uma classificação de 6,6 em 10.

Um bug na versão anterior do componente novamente permitiu a execução remota de código – desta vez devido à falta de controles de acesso às ferramentas JDNI no Log4j. Explorar esta vulnerabilidade é muito mais difícil do que a anterior – requer acesso ao arquivo de configuração. Com sua ajuda, foi possível definir uma fonte de dados URI JNDI para execução remota de código.

Como um lembrete, vários cibercriminosos começaram a explorar a vulnerabilidade inicial do Log4Shell quase imediatamente após sua descoberta. Até mesmo o helicóptero Ingenuity Martian estava sob ameaça, e alguns hackers invadiram maciçamente os servidores HPE para minerar a criptomoeda Raptoreum.

avalanche

Postagens recentes

O Google não consegue acompanhar seus concorrentes: o lançamento do Gemini 3.5 Pro está atrasado por meses

O Google está meses atrasado no lançamento do Gemini 3.5 Pro, seu modelo de IA…

2 horas atrás

Japão descongela a construção do maglev Tóquio-Nagoya após uma pausa de dez anos

\nNo Japão, na semana passada, 7 de julho, foi aprovada a construção do trecho inicial…

2 horas atrás

Japão descongela a construção do maglev Tóquio-Nagoya após uma pausa de dez anos

\nNo Japão, na semana passada, 7 de julho, foi aprovada a construção do trecho inicial…

2 horas atrás

O primeiro torneio internacional de combate a robôs humanóides foi realizado na China – um deles teve a cabeça arrancada

\nNo dia anterior, um evento chamado Ultimate Robot Knock-out Legend (URKL) aconteceu em Shenzhen, China.…

2 horas atrás

Os EUA permitiram que os Emirados Árabes Unidos comprassem massivamente chips avançados de IA

\nOs Emirados Árabes Unidos receberam a tão esperada permissão dos Estados Unidos para a compra…

3 horas atrás

Os cientistas descobriram um planeta onde pode haver todas as condições para a vida, como na Terra

\nPela primeira vez na história, os astrónomos conseguiram detectar a atmosfera de um planeta rochoso…

3 horas atrás