O projeto Apache lançou outro patch para o componente Log4j. A nova versão se chama Log4j 2.17.1 e corrige uma vulnerabilidade encontrada na versão anterior. Felizmente, não é tão perigoso quanto o original.
Fonte da imagem: Gerd Altmann / pixabay.com
O componente de coleta de logs chamou a atenção no início de dezembro, quando foi descoberta uma séria vulnerabilidade nele, que permite a execução de código arbitrário em máquinas remotas com o mínimo de esforço. O erro no componente foi corrigido, mas a nova versão revelou seus próprios problemas, embora não tão perigosos. Em seguida, outra atualização saiu com os mesmos objetivos. A nova versão do Log4j 2.17.1 corrige a vulnerabilidade anterior, que recebeu o número CVE-2021-44832 e uma classificação de 6,6 em 10.
Um bug na versão anterior do componente novamente permitiu a execução remota de código – desta vez devido à falta de controles de acesso às ferramentas JDNI no Log4j. Explorar esta vulnerabilidade é muito mais difícil do que a anterior – requer acesso ao arquivo de configuração. Com sua ajuda, foi possível definir uma fonte de dados URI JNDI para execução remota de código.
Como um lembrete, vários cibercriminosos começaram a explorar a vulnerabilidade inicial do Log4Shell quase imediatamente após sua descoberta. Até mesmo o helicóptero Ingenuity Martian estava sob ameaça, e alguns hackers invadiram maciçamente os servidores HPE para minerar a criptomoeda Raptoreum.
A Asus começou a distribuir atualizações beta da BIOS que reinstalam o suporte para as…
Os aumentos de preços de alguns produtos da Apple ontem causaram bastante alvoroço, embora não…
Os funcionários da OpenAI começaram a migrar de chatbots para agentes como sua principal forma…
A OpenAI está se preparando para lançar seu novo modelo de IA, o GPT 5.6,…
Tecnicamente, os clientes da T-Mobile nos EUA já podem se conectar diretamente aos satélites Starlink…
Como a prática demonstra, até mesmo o formato de um retângulo com cantos arredondados pode…