A Apache Software Foundation publicou outra atualização para a biblioteca Log4j, que fecha outra vulnerabilidade – na anterior, a proteção contra o exploit Log4Shell era “insuficiente para certas configurações não padrão.”
Fonte da imagem: Pete Linforth / pixabay.com
A vulnerabilidade do novo componente é rastreada pelo número CVE-2021-45046 e formalmente não é tão perigoso – foi atribuída uma classificação de 3,7 pontos em 10. Todas as versões da biblioteca Log4j de 2.0-beta9 a 2.15.0 são afetadas . Lembre-se que este último foi lançado recentemente e fechou a vulnerabilidade CVE-2021-44228, que ameaçava os recursos de rede das maiores empresas do mundo.
Como se viu, o patch anterior não cobriu completamente a vulnerabilidade e permitiu “injetar entrada maliciosa na pesquisa JNDI e, como resultado, acionar um ataque DoS.” Na nova versão do Log4j 2.16.0, o suporte à pesquisa foi removido e a interface JNDI está desabilitada por padrão.
«Durante o trabalho com o CVE-2021-44228, descobriu-se que o JNDI tinha sérios problemas de segurança. Embora tenhamos atenuado os problemas conhecidos, seria mais seguro para os usuários desligá-lo por padrão, visto que a maioria dificilmente o usará ”, disse Ralph Goers, contribuidor do projeto Apache. JNDI (Java Naming and Directory Interface) é uma API Java que permite aos aplicativos pesquisar dados e recursos.
No final de janeiro, foi noticiado que os smartphones da série Samsung Galaxy S26 provavelmente…
O minerador de dados Maxim Poletaev (também conhecido como Gabe Follower) comentou recentemente sobre rumores…
A Ford Motor, uma das maiores montadoras americanas, inicialmente se comprometeu com uma estreita cooperação…
Os longos tempos de carregamento são considerados uma das desvantagens operacionais dos veículos elétricos, mas…
Já se passaram mais de quatro anos desde o lançamento de ATOM RPG: Trudograd, e…
A mais recente viagem de Jensen Huang, CEO e fundador da Nvidia, a Taiwan incluiu,…