25.12.2021  Новости, Безопасность

Компания «Ростелеком-Солар» представила обновленную базу поиска уязвимостей инструмента SAST-анализа Solar appScreener, дополнив ее недавно обнаруженными в библиотеке Apache Log4j уязвимостями нулевого дня. Библиотека Apache Log4j используется миллионами корпоративных приложений и Java-серверами для регистрации сообщений об ошибках. Уязвимости в ней получили название Log4Shell (встречаются также LogJam, LogJ) и относятся к Remote Code Execution (RCE), Local Code Execution (LCE). Помимо этого, обнаружена возможность реализаций атак Denial of Service (DOS). До дополнения политика Solar appScreener выявляла любые недоверенные данные, которые записывались в журнал и определяла их как уязвимость вида «Подделка файла лога» (Log Forging). Обновление инструмента анализа кода дополнительными правилами позволяет отдельно подчеркивать уязвимости Log4Shell в рамках обнаруженных уязвимостей вида «Подделка файла лога». В базу сканера анализа Solar appScreener были добавлены правила для поиска всех выявленных на текущий момент уязвимостей библиотеки Apache Log4j: 1. CVE-2021-44228 (оценка опасности угрозы по CVSS: 10/10 баллов) – критическая уязвимость удаленного выполнения кода, которая затрагивает версии Log4j от 2.0-beta9 до 2.14.1. Проблема частично исправлена в патче 2.15.0. Уязвимость дает возможность в приложениях и серверах на основе Java, в которых используется библиотека Log4j, сохранять определенную строку в логах. Когда приложение или сервер обрабатывают логи ... читать далее.