طی روزهای قبل در مورد log4j بسیار صحبت شد. از زمانی که حملات حیاتی log4j zero-day آغاز شد، کارشناسان امنیتی بارها و بارها نسخه 2.16 را به عنوان ایمن ترین نسخه توصیه کرده اند. اما امروز نسخه 2.17.0 ارائه شده که حمله DoS به ظاهر جزئی اما با شدت «بالا» را برطرف می کند و این اشکال DoS، با نام CVE-2021-45105 نیز شناسایی می شود.
بازگشت بی نهایت، انتشار متناهی؟
ظن وجود یک باگ DoS که بر log4j 2.16.0 تأثیر می گذارد حدود سه روز پیش در پروژه JIRA آپاچی بوجود آمد، اندکی پس از آن مشخص شد که 2.15.0 در برابر آسیب پذیری (CVE-2021-45046) DoS آسیب پذیر است.
چند ساعت پیش، محققان امنیتی از vx-underground و Hacker Fantastic در مورد نقص احتمالی Denial of Service که بر نسخه 2.16 ، log4j تأثیر می گذارد، اعلام داشتند: اکسپلویت جدید از طریق “${${::-${:-$${::-j}}}}” در برابر DoS آسیبپذیر است. برای کسب اطلاعات بیشتر به لینک های اعلام شده مراجعه فرمایید، vx-underground (@vxunderground) https://t.co/pzeWiQEa68
پس از بحث در مورد این موضوع در طول سه روز گذشته، Apache یک CVE جدید اختصاص داده و نسخه جدید 2.17 نیز منتشر شده است.
گوگل: بیش از 35000 بسته جاوا دارای آسیب پذیری های Log4j هستند.
این توسعه تقریباً همزمان با تجزیه و تحلیل گوگل انجام می شود که نشان می دهد بیش از 35000 بسته جاوا حاوی آسیب پذیری های log4j هستند. به گفته گوگل، اکثر بستههای آسیبپذیر جاوا در Maven Central، log4j را «غیر مستقیم» استفاده می کنند. یعنی log4j وابستگی در وابستگی است، مفهومی که به آن وابستگیهای انتقالی نیز گفته میشود.
به این ترتیب، سازمانها باید به آخرین نسخههای log4j ارتقا دهند و به نظارت بر توصیههای آپاچی برای بهروزرسانیها ادامه دهند.
با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت
منبع:
