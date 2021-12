Załatana wersja LOG4J 2.15.0 niestety również posiada poważną lukę w zabezpieczeniach, która jest już wykorzystywana przez hakerów.

LOG4J to hasło internetu ostatnich dni. W zeszły czwartek dowiedzieliśmy się o możliwości wykorzystania krytycznego kodu typu zero-day w LOG4J. Jest to narzędzie wykorzystywane do logowania przez większość usług chmurowych oraz sieci korporacyjnych na świecie.

Kod źródłowy Źródło: Iva Pavlov / Unsplash

Programiści bardzo szybko zabrali się do pracy i wydali aktualizację, która załatała dziury. Po jej wprowadzeniu na rynek nastąpił bardzo szybki proces aktualizacji, który miał zabezpieczyć użytkowników z całego świata przed niebezpieczeństwem.

Niestety badacze bezpieczeństwa donoszą o co najmniej dwóch lukach w LOG4J 2.15.0. Dodatkowo jedna z nich jest już aktywnie wykorzystywana przez hakerów. W sieci pojawiła się już kolejna wersja LOG4J 2.16.0, która łata lukę oznaczoną jako CVE-2021-45046.

Wcześniejsza poprawka według ekspertów bezpieczeństwa była niekompletna i umożliwiała atak typu denial-of-service, który pozwala na całkowite wyłączenie podatnych na tak usług do czasu restartu serwerów.

W środę - 15 grudnia 2021 roku - badacze firmy Praetorian stwierdzili, że w wersji 2.15.0 znajduje się jeszcze poważniejsza luka - błąd związany z ujawnianiem informacji, który może zostać wykorzystany do pobrania danych z zaatakowanych serwerów.

Aktualnie nie podano szczegółowych informacji, aby nie ułatwiać wykorzystania luki. Jednocześnie właśnie rozpoczął się proces aktualizacji do LOG4J 2.16.0.