Hlavní navigace

Log4j 2.15.0 a 1.x jsou stále zranitelné, aktualizujte na 2.16.0

17. 12. 2021

Sdílet

Java káva Autor: Depositphotos

Chyba v Log4j umožňující vzdáleně spustit libovolný kód byla oznámena před týdnem. Následně po zveřejnění byla chyba masivně zneužívána.  Nyní se ukázalo, že i opravená verze 2.15.0 není bezpečná, ale obsahuje novou zranitelnost CVE-2021–45046, kterou je možné zneužít k DoS případně i ke spuštění kódu (speciální nevýchozí konfigurace). Navíc verze 2.15.0 umožňuje útočníkovi získat některá citlivá data. Je potřeba aktualizovat na 2.16.0.

Zranitelné jsou nově také verze 1.x, o kterých se doposud myslelo, že zasaženy nejsou. Jde o chyby CVE-2021–4104CVE-2021–42550, které jsou sice hodnoceny jako méně nebezpečné, než chyby v Log4j 2.x, ale stejně se doporučuje aktualizovat. Protože 1.x se již nevyvíjí, tak na verzi 2.16.0.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.