Apache

Újabb frissítés a Log4J Apache naplózó csomaghoz

Újabb frissítés a Log4J Apache naplózó csomaghoz

2012-12-15

CVE-2021-45046

Nemrég napvilágra került az Apache Log4J naplózó csomag egy kritikus sérülékenysége (CVE-2021-44228). Az ehhez kiadott frissítés (2.15.0) nem bizonyolut teljeskörűnek, mert újabb rést találtak a programban (CVE-2021-45046), melynek kihasználásával szolgáltatás megtagadást tudnak előídézni (DoS). Igaz ennek súlyossága már csak mérsékelt. (Base CVSS Score: 3.7 ). Ennek javítására is megjelent újabb frissítés (2.16.0), mely elérhető az alábbi linken:

Zero-day sérülékenységet találtak a log4J Java naplozó csomagban

2021-12-10

CVE-2021-44228

Zero-day sérülékenységet találtak az Apache log4J Java naplozó csomagban, mely lehetővé teszi, hogy egy nem azonosított támadó távoli kódott futtasson a naplózó gépen. A sérülékenység működésének lényege, hogy ha a naplóba olyan string kerülhet, amit a támadó irányít, azzal kódot tud futtatni a naplózó gépen. (Pl egy web formon megadott adat naplózása.)

Az érintett Apache log4J verziók:

2.0 <= Apache log4j <= 2.14.1