A Apache Software Foundation publicou outra atualização para a biblioteca Log4j, que fecha outra vulnerabilidade – na anterior, a proteção contra o exploit Log4Shell era “insuficiente para certas configurações não padrão.”
A vulnerabilidade do novo componente é rastreada pelo número CVE-2021-45046 e formalmente não é tão perigoso – foi atribuída uma classificação de 3,7 pontos em 10. Todas as versões da biblioteca Log4j de 2.0-beta9 a 2.15.0 são afetadas . Lembre-se que este último foi lançado recentemente e fechou a vulnerabilidade CVE-2021-44228, que ameaçava os recursos de rede das maiores empresas do mundo.
Como se viu, o patch anterior não cobriu completamente a vulnerabilidade e permitiu “injetar entrada maliciosa na pesquisa JNDI e, como resultado, acionar um ataque DoS.” Na nova versão do Log4j 2.16.0, o suporte à pesquisa foi removido e a interface JNDI está desabilitada por padrão.
«Durante o trabalho com o CVE-2021-44228, descobriu-se que o JNDI tinha sérios problemas de segurança. Embora tenhamos atenuado os problemas conhecidos, seria mais seguro para os usuários desligá-lo por padrão, visto que a maioria dificilmente o usará ”, disse Ralph Goers, contribuidor do projeto Apache. JNDI (Java Naming and Directory Interface) é uma API Java que permite aos aplicativos pesquisar dados e recursos.
A NASA anunciou o acesso gratuito para todos ao programa Exoplanet Watch (“Observação de exoplanetas”).…
A Coffee Stain Publishing e os desenvolvedores do estúdio dinamarquês Ghost Ship Games resumiram os…
A MSI expandiu sua gama de monitores de jogos de pontos quânticos com a introdução…
A Gigabyte expandiu seu portfólio SSD M.2 com a nova série Aorus Gen4 7300 SSD.…
A Roccat lançou um teclado compacto de membrana para jogos Magma Mini. A novidade usa…
No início de janeiro, soube-se que a jovem montadora americana Rivian produziu 24.337 veículos elétricos…