Вектор значительно расширяет поверхность атаки и может повлиять даже на службы, работающие как localhost.
Исследователи в области кибербезопасности обнаружили новый вектор атаки, позволяющий злоумышленникам локально использовать уязвимость Log4Shell ( CVE-2021-44228 ) в серверах с помощью соединения JavaScript WebSocket.
По словам технического директора Blumira Мэтью Уорнера (Matthew Warner), эксплуатация уязвимости возможна при посещении web-сайта пользователем, у которого установлена уязвимая версия Log4j на ПК или в локальной сети. Ранее эксперты полагали, что влияние Log4j ограничивалось уязвимыми серверами. В настоящее время нет свидетельств использования нового вектора в реальных атаках. Вектор значительно расширяет поверхность атаки и может повлиять даже на службы, работающие как localhost.
Проблему можно решить, обновив все локальные и подключенные к Сети среды разработки до версии Log4j 2.16.0, однако это не единственная уязвимость в Log4j. Apache выпустила версию 2.17.0, которая устраняет новую уязвимость ( CVE-2021- 45105 ) в Log 4j2. Это уже третья по счету проблема после CVE-2021-45046 и CVE-2021-44228.
Полный список уязвимостей Log4Shell включает:
CVE-2021-44228 (максимальные 10 баллов по шкале CVSS) — уязвимость удаленного выполнения кода, затрагивающая версии Log4j от 2.0-beta9 до 2.14.1. Проблема исправлена в версии 2.15.0.
CVE-2021-45046 (9,0 баллов по шкале CVSS) — уязвимость позволяет похитить информацию и удаленно выполнить код. Затрагивает версии Log4j от 2.0-beta9 до 2.15.0, за исключением 2.12.2. Исправлена в версии 2.16.0.
CVE-2021-45105 (7,5 баллов по шкале CVSS) — DoS-уязвимость, затрагивающая версии Log4j от 2.0-beta9 до 2.16.0. Исправлена в версии 2.17.0.
CVE-2021-4104 (оценка по CVSS: 8,1) — уязвимость небезопасной десериализации, затрагивающая версии Log4j 1.2. Исправление отсутствует, необходимо обновиться до версии 2.17.0.
5778 К? Пф! У нас градус знаний зашкаливает!