Google предупредила об уязвимости в библиотеке Apache Log4j 2.14.1
Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код.
Google предупредила об уязвимости в библиотеке Apache Log4j версий 2.14.1 и ниже.
Функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемого злоумышленником LDAP и других конечных точек, связанных с JNDI.
Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. Начиная с Log4j 2.15.0, это поведение отключено по умолчанию.
Чтобы работать безопасно, Google рекомендует разработчикам обновить библиотеку до версии 2.15.0. Инструкция обновления есть на сайте создателей Apache Log4j.
В наших новостях всегда есть немного больше, чем у других. Подпишитесь на канал в Телеграм и читайте интересные новости первыми.