25.12.2021  Новости, Безопасность

Компания «Ростелеком-Солар» представила обновленную базу поиска уязвимостей инструмента SAST-анализа Solar appScreener, дополнив ее недавно обнаруженными в библиотеке Apache Log4j уязвимостями нулевого дня. Библиотека Apache Log4j используется миллионами корпоративных приложений и Java-серверами для регистрации сообщений об ошибках. Уязвимости в ней получили название Log4Shell (встречаются также LogJam, LogJ) и относятся к Remote Code Execution (RCE), Local Code Execution (LCE). Помимо этого, обнаружена возможность реализаций атак Denial of Service (DOS). До дополнения политика Solar appScreener выявляла любые недоверенные данные, которые записывались в журнал и определяла их как уязвимость вида «Подделка файла лога» (Log Forging). Обновление инструмента анализа кода дополнительными правилами позволяет отдельно подчеркивать уязвимости Log4Shell в рамках обнаруженных уязвимостей ... читать далее.