В библиотеке Log4j нашли новую уязвимость, против которой не помогают исправления безопасности

У тысяч компаний, банков и госструктур остаётся только один способ защититься от хакеров и вирусов — перейти на самую последнюю версию библиотеки, что может затянуться надолго.

9 декабря в библиотеке логирования для программ на языке Java нашли уязвимость, которая позволяет минимальными усилиями взламывать серверы крупных компаний, банков и госучреждений. Программы на Java популярны в корпоративном секторе, а библиотеку Log4j использует большинство программ на Java для ведения логов — она пишет о том, что происходит в программе. Например, ведёт статистику пользователей в онлайн-игре или интернет-банке.

Разработчики оперативно выпустили обновление Log4j 2.15 и порекомендовали изменить настройки Log4j, чтобы отключить часть функций. Однако только что обнаруженная уязвимость CVE-2021-45046 делает все эти меры бесполезными. Если передавать строку не напрямую, а через промежуточную переменную — библиотека Log4j так же бесконтрольно выполнит любой код в этой строке.

Остаётся только один способ, чтобы защититься от атаки: обновить библиотеку Log4j до новейших версий 2.16 или 2.12.2. В них разработчики полностью убрали возможность подставлять в строки специально оформленный код. Однако могут пройти недели и месяцы, прежде чем бизнес и госструктуры обновят библиотеку Log4j в своих программах, а некоторые корпоративные приложения могут быть вовсе необновляемы.

#уязвимости #безопасность #хакеры #log4j #новости