19/10/2022 às 16h39min - Atualizada em 20/10/2022 às 00h00min

Sophos comenta sobre nova vulnerabilidade do Apache e preocupação de ser o próximo Log4J

10 Views Comentar

SALA DA NOTÍCIA Carolina

O Apache, servidor web gratuito e de código aberto, divulgou uma nova vulnerabilidade em seu Commons Text, biblioteca focada em algoritmos para manipulação de cadeias de caracteres que inclui recursos de interpolação de dados. Apesar de, neste momento, nenhum ataque ter sido relatado, há a preocupação do caso ser o próximo Log4J.

Segundo Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos, empresa líder mundial em inovação e entrega de cibersegurança como serviço, "a Sophos X-Ops está monitorando a situação de vulnerabilidade do Apache CVE-2022-42889. Alguns relatórios afirmam que é semelhante à instabilidade Log4J do ano passado, mas, até o momento, não parece ser o caso. O Log4J é uma biblioteca Java amplamente utilizada e qualquer servidor web que use a versão vulnerável pode ser facilmente explorado, enquanto a biblioteca Common Text não é tão proeminente”.

O executivo também comenta que “o Log4J pode ser explorado com código genérico, enquanto esta nova vulnerabilidade provavelmente requer um código específico e direcionado. Por fim, a maioria das aplicações não passará dados não higienizados dos usuários para as funções vulneráveis da biblioteca, reduzindo ou negando os riscos de exploração. A Sophos X-Ops não está vendo atualmente os ataques tirando proveito do CVE-2022-42889 livremente, mas continuará monitorando".

Alguns dos interpoladores padrão, uma versão mais antiga da biblioteca permite que hackers insiram seu próprio código, tornando as aplicações que utilizam esses padrões vulneráveis à execução arbitrária do código ou ao contato com servidores remotos.

Notícias

Entretenimento

Esportes

Tecnologia

Serviços

Ciência e Tecnologia

Sophos comenta sobre nova vulnerabilidade do Apache e preocupação de ser o próximo Log4J

Nenhum comentário, Seja o primeiro!