O projeto Apache lançou outro patch para o componente Log4j. A nova versão se chama Log4j 2.17.1 e corrige uma vulnerabilidade encontrada na versão anterior. Felizmente, não é tão perigoso quanto o original.
Fonte da imagem: Gerd Altmann / pixabay.com
O componente de coleta de logs chamou a atenção no início de dezembro, quando foi descoberta uma séria vulnerabilidade nele, que permite a execução de código arbitrário em máquinas remotas com o mínimo de esforço. O erro no componente foi corrigido, mas a nova versão revelou seus próprios problemas, embora não tão perigosos. Em seguida, outra atualização saiu com os mesmos objetivos. A nova versão do Log4j 2.17.1 corrige a vulnerabilidade anterior, que recebeu o número CVE-2021-44832 e uma classificação de 6,6 em 10.
Um bug na versão anterior do componente novamente permitiu a execução remota de código – desta vez devido à falta de controles de acesso às ferramentas JDNI no Log4j. Explorar esta vulnerabilidade é muito mais difícil do que a anterior – requer acesso ao arquivo de configuração. Com sua ajuda, foi possível definir uma fonte de dados URI JNDI para execução remota de código.
Como um lembrete, vários cibercriminosos começaram a explorar a vulnerabilidade inicial do Log4Shell quase imediatamente após sua descoberta. Até mesmo o helicóptero Ingenuity Martian estava sob ameaça, e alguns hackers invadiram maciçamente os servidores HPE para minerar a criptomoeda Raptoreum.
Em 3 de julho de 2026, a NASA se despediu oficialmente da missão e da…
A desenvolvedora Moon Studios anunciou que seu RPG de ação e fantasia No Rest for…
O público americano está cada vez mais manifestando sua oposição à rápida construção de centros…
Os preparativos para o IPO da SpaceX, que agora se tornou uma espécie de conglomerado…
A ASUS apresentou uma grande quantidade de novos produtos na Computex 2026, e o tema…
Os modernos sistemas de inteligência artificial, que deveriam simplificar o processo de contratação, acabaram por…