Патч, устранивший критическую уязвимость в популярном программном обеспечении, которое некоторые называют наихудшим за десятилетие, предоставил злоумышленникам как минимум два новых способа атаковать серверы.
Обнаружение ранее неизвестного эксплойта в Log4J, инструменте с открытым исходным кодом, разработанном Apache Software Foundation, на прошлой неделе привлекло внимание всего мира. Уязвимость позволяла заставить серверы, использующие утилиту ведения журнала, выполнять любой код.
Читать далее
На прошлой неделе лазейка была закрыта патчем, но он привел к появлению новых уязвимостей, как подробно рассказали Ars Technica и ZDNet.
Разработчики подтвердили, что исправление было «Неполный в некоторых нестандартных конфигурациях» и давал злоумышленникам возможность запускать атаки типа «отказ в обслуживании», которые делают сервис недоступным. Отключение определенных функций снизит риск.
Еще одна проблема была сообщена фирмой по кибербезопасности Praetorian, которая сообщила в среду, что патч «Все еще может допускать кражу конфиденциальных данных при определенных обстоятельствах».
К счастью, ранее на этой неделе был выпущен новый патч для этого инструмента. Однако компаниям требуется время, чтобы интегрировать обновление в свои продукты.
Первоначальная уязвимость нулевого дня активно использовалась злоумышленниками. По оценке Financial Times, с пятницы было совершено более 1,2 миллиона атак с использованием уязвимости Log4J.
Утилита написана на Java, популярном языке программирования, используемом во многих современных продуктах, что объясняет, почему она была описана как «Самая большая и самая критическая уязвимость за последнее десятилетие» охранной компанией Tenable.
источник: www.rt.com
