Исходное сообщение
"Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту" Отправлено opennews, 15-Дек-21 10:33
В реализации подстановок JNDI в библиотеке  Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56347