Tin tức và phân tích của tất cả các thiết bị di động

Lỗ hổng Log4j: một bản vá mới do Apache phát hành

Log4j

Không bao giờ có hai mà không có ba. Apache Software Foundation (ASF) đã triển khai một bản vá mới cho Log4j để sửa một lỗ hổng nghiêm trọng.

Đây là bản cập nhật thứ ba cho thư viện phần mềm nguồn mở của nó chỉ trong mười ngày.

Bản cập nhật Log4j mới

No không bao giơ kêt thuc. Sau khi một lỗ hổng bảo mật nghiêm trọng tối đa (được gọi là Log4Shell) được phát hiện trong phần mềm ghi nhật ký Log4j, được sử dụng trong hàng triệu ứng dụng bao gồm cả Minecraft và khi các công ty kêu gọi thợ săn lỗi khai quật các lỗ hổng cụ thể cho Log4j, ASF đã phát hành bản cập nhật thứ ba.

Phiên bản 2.16 phát hành vào thứ Ba, ngày 14 tháng 11 chỉ được bảo vệ “ không phải lúc nào cũng chống lại đệ quy vô hạn trong đánh giá tìm kiếm giải thích về nền tảng trong một thông cáo báo chí. Cụ thể hơn, phiên bản trước cho phép kẻ tấn công tạo ra các cuộc tấn công DoS. Sự cố sẽ được khắc phục bằng bản cập nhật 2.17.0… Nhưng các công ty vẫn chưa kết thúc cuộc đấu tranh của họ.

James Wetter và Nicky Ringland, các nhà nghiên cứu từ nhóm Open Source Insights, đã tuyên bố trong một báo cáo do Google công bố vào thứ Sáu tuần trước rằng 35.863 hiện vật Java có sẵn ở Maven Central phụ thuộc vào mã Log4j bị ảnh hưởng bởi lỗ hổng này. Theo họ, chỉ khoảng 5 000 hiện vật đã được vá, nhưng sẽ rất khó để giải quyết toàn bộ vấn đề do độ sâu tích hợp của Log4j trong một số sản phẩm. Nói cách khác, có thể mất nhiều năm để nó được sửa chữa, trong một số trường hợp.

Log4Shell, lỗ hổng bảo mật đang khiến Internet bùng phát là gì?

Trong vài ngày qua, Internet đã xôn xao về một lỗ hổng trong Log4j, một chương trình chưa được công chúng biết đến nhưng vẫn được sử dụng trong một số lượng rất lớn phần mềm và ứng dụng web. Tại sao lỗ hổng này lại đáng kể đến vậy? Chúng tôi giải thích cho bạn.
Đọc thêm

Nguồn : Zdnet