A Apache Software Foundation publicou outra atualização para a biblioteca Log4j, que fecha outra vulnerabilidade – na anterior, a proteção contra o exploit Log4Shell era “insuficiente para certas configurações não padrão.”
Fonte da imagem: Pete Linforth / pixabay.com
A vulnerabilidade do novo componente é rastreada pelo número CVE-2021-45046 e formalmente não é tão perigoso – foi atribuída uma classificação de 3,7 pontos em 10. Todas as versões da biblioteca Log4j de 2.0-beta9 a 2.15.0 são afetadas . Lembre-se que este último foi lançado recentemente e fechou a vulnerabilidade CVE-2021-44228, que ameaçava os recursos de rede das maiores empresas do mundo.
Como se viu, o patch anterior não cobriu completamente a vulnerabilidade e permitiu “injetar entrada maliciosa na pesquisa JNDI e, como resultado, acionar um ataque DoS.” Na nova versão do Log4j 2.16.0, o suporte à pesquisa foi removido e a interface JNDI está desabilitada por padrão.
«Durante o trabalho com o CVE-2021-44228, descobriu-se que o JNDI tinha sérios problemas de segurança. Embora tenhamos atenuado os problemas conhecidos, seria mais seguro para os usuários desligá-lo por padrão, visto que a maioria dificilmente o usará ”, disse Ralph Goers, contribuidor do projeto Apache. JNDI (Java Naming and Directory Interface) é uma API Java que permite aos aplicativos pesquisar dados e recursos.