Os pesquisadores de segurança relatam que encontraram novamente uma vulnerabilidade no recurso log4j do Java que permite a execução remota de código. De acordo com os pesquisadores, a nova vulnerabilidade anula parcialmente a atualização da vulnerabilidade Log4Shell.
Em uma postagem do blog, pesquisadores do LunaSec escreveram que isso não significa que a atualização do log4j não tenha utilidade alguma, mas que há uma chance de que os usuários ainda estejam vulneráveis ao Log4Shell , mesmo que seus sistemas tenham a versão 2.15.0 instalada. A descrição da nova vulnerabilidade, CVE-2021-45046 , afirma que a atualização 2.15.0 não protege totalmente, permitindo ataques de negação de serviço . É por isso que o 2.16.0 do log4j foi lançado logo após o 2.15.0.
Os pesquisadores escreveram que, além de um ataque DOS, a execução remota de código também é possível. Eles dizem que é um pouco difícil de entender, mas o ponto principal é que a correção que deveria consertar o Log4Shell não funciona corretamente em certas configurações não padrão do log4j, permitindo que invasores obtenham acesso aos sistemas. As atenuações temporárias para proteger contra Log4Shell nas versões 2.7.0 a 2.14.1 de log4j também não protegem contra essa vulnerabilidade, dizem eles.
Em testes conduzidos pelos pesquisadores, parece que a configuração% m {nolookups} não protege contra Log4Shell e que a execução remota de código ainda é possível se o sinalizador noMsgFormatLookups estiver definido. De acordo com os pesquisadores, a lógica para desabilitar as pesquisas JNDI pode ser contornada por meio dessas configurações, tornando o sistema vulnerável. Os pesquisadores recomendam atualizar para a versão 2.16.0 o mais rápido possível, pois isso desabilita os padrões de pesquisa de mensagens e desabilita a funcionalidade JNDI padrão.
Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site.
Adicionar comentário