После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили? Молодцы. Теперь обновляйте до 2.16.
Выяснилось, что исправления версии 2.15 не работают при некоторых конфигурациях, в которых при журналировании используются контекстные запросы Context Lookup, такие как ${ctx:loginId}, или MDC-шаблоны Thread Context Map, например, %X, %mdc и %MDC.
Уязвимость CVE-2021-45046 независимо от использования флага "log4j2.noFormatMsgLookup" или шаблона "%m{nolookups}" позволяет злоумышленнику вызвать DOS для версии 2.15 или RCE для предыдущих версий. 3.7 баллов по шкале CVSSv3.
В качестве обходного пути защиты предложено удалить класс JndiLookup из classpath (например, "zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class").
Ссылки
https://www.openwall.com/lists/oss-security/2021/12/14/4
https://www.opennet.ru/opennews/art.shtml?num=56347
Источник:
https://internet-lab.ru/log4j_CVE-2021-45046
Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.