log4j را به 2.16 ارتقا داده اید ؟ حالا 2.17 برای DoS ارسال شده.

 

photo 2021 12 18 13 59 35


طی روزهای قبل در مورد log4j بسیار صحبت شد. از زمانی که حملات حیاتی log4j zero-day آغاز شد، کارشناسان امنیتی بارها و بارها نسخه 2.16 را به عنوان ایمن ترین نسخه توصیه کرده اند. اما امروز نسخه 2.17.0 ارائه شده که حمله  DoS به ظاهر جزئی اما با شدت «بالا» را برطرف می کند و این اشکال DoS، با نام CVE-2021-45105 نیز شناسایی می شود.


بازگشت بی نهایت، انتشار متناهی؟


ظن وجود یک باگ DoS که بر log4j 2.16.0 تأثیر می گذارد حدود سه روز پیش در پروژه JIRA آپاچی بوجود آمد، اندکی پس از آن مشخص شد که 2.15.0 در برابر آسیب پذیری (CVE-2021-45046) DoS آسیب پذیر است.
چند ساعت پیش، محققان امنیتی از vx-underground و Hacker Fantastic در مورد نقص احتمالی Denial of Service که بر نسخه 2.16 ، log4j  تأثیر می گذارد، اعلام داشتند: اکسپلویت جدید از طریق "${${::-${:-$${::-j}}}}" در برابر DoS آسیب‌پذیر است. برای کسب اطلاعات بیشتر به لینک های اعلام شده مراجعه فرمایید، vx-underground (@vxunderground) https://t.co/pzeWiQEa68   
پس از بحث در مورد این موضوع در طول سه روز گذشته، Apache یک CVE جدید اختصاص داده و نسخه جدید 2.17 نیز منتشر شده است.


گوگل: بیش از 35000 بسته جاوا دارای آسیب پذیری های Log4j هستند.


این توسعه تقریباً همزمان با تجزیه و تحلیل گوگل انجام می شود که نشان می دهد بیش از 35000 بسته جاوا حاوی آسیب پذیری های log4j هستند. به گفته گوگل، اکثر بسته‌های آسیب‌پذیر جاوا در Maven Central، log4j را «غیر مستقیم» استفاده می کنند. یعنی log4j وابستگی در وابستگی است، مفهومی که به آن وابستگی‌های انتقالی نیز گفته می‌شود.

ax2


به این ترتیب، سازمان‌ها باید به آخرین نسخه‌های log4j ارتقا دهند و به نظارت بر توصیه‌های آپاچی برای به‌روزرسانی‌ها ادامه دهند.

 با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت

 منبع:

https://www.bleepingcomputer.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین