تطرح مؤسسة Apache تحديث Log4j الرابع خلال شهر واحد، والذي يعمل على إصلاح المزيد من الثغرات الأمنية المحتملة.
مسبقا في هذا الشهر، تم اكتشاف ثغرة أمنية في حزمة التسجيل الشهيرة المستندة إلى Java "Log4j" أصبحت مشكلة كبيرة لعدد لا يحصى من الشركات والمنتجات التقنية. اضطرت Minecraft وSteam وApple iCloud وغيرها من التطبيقات والخدمات إلى تسريع التحديثات باستخدام إصدار مصحح، لكن مشكلات Log4j لم يتم حلها بالكامل بعد. يتم الآن طرح تحديث آخر يهدف إلى إصلاح مشكلة أمنية محتملة أخرى.
أصدرت مؤسسة برمجيات أباتشي الإصدار 2.17.1 من Log4j في يوم الاثنين (عبر الكمبيوتر النائم)، والذي يعالج في المقام الأول ثغرة أمنية تسمى CVE-2021-44832. من المحتمل أن تسمح الثغرة الأمنية بتنفيذ التعليمات البرمجية عن بعد (RCE) باستخدام JDBC Appender إذا كان المهاجم قادرًا على التحكم في ملف تكوين تسجيل Log4j. تم منح المشكلة تصنيف خطورة "متوسط"، وهو أقل من الثغرة الأمنية التي تسببت في حدوث كل شيء -- CVE-2021-44228، والتي تم تصنيفها على أنها "حرجة". الباحث الأمني في Checkmarx يانيف نيزري ادعى الفضل في اكتشاف الثغرة الأمنية والإبلاغ عنها إلى مؤسسة برمجيات أباتشي.
كتب أباتشي في وصف الثغرة الأمنية، "إصدارات Apache Log4j2 من 2.0 إلى beta7 إلى 2.17.0 (باستثناء إصدارات إصلاح الأمان 2.3.2 و2.12.4) معرضة لهجوم تنفيذ التعليمات البرمجية عن بعد (RCE) حيث يقوم مهاجم باستخدام يمكن أن يؤدي إذن تعديل ملف تكوين التسجيل إلى إنشاء تكوين ضار باستخدام JDBC Appender مع مصدر بيانات يشير إلى JNDI URI والذي يمكنه التنفيذ عن بعد شفرة. تم إصلاح هذه المشكلة عن طريق قصر أسماء مصادر بيانات JNDI على بروتوكول Java في إصدارات Log4j2 2.17.1 و2.12.4 و2.3.2."
سمح استغلال Log4j الأصلي، والذي يُعرف أيضًا باسم "Log4Shell"، بتنفيذ تعليمات برمجية ضارة على العديد من الخوادم أو التطبيقات التي تستخدم Log4j لتسجيل البيانات. وقال ماثيو برينس، الرئيس التنفيذي لشركة Cloudflare، إنه تم استخدام هذا الاستغلال في وقت مبكر من 1 ديسمبر، قبل أكثر من أسبوع من الكشف عنه علنًا، و وفق واشنطن بوست, كلفت Google أكثر من 500 مهندس بمهمة مراجعة كود الشركة للتأكد من عدم وجود أي نقاط ضعف. هذه الثغرة الأمنية ليست خطيرة على الإطلاق، حيث لا يزال المهاجم بحاجة إلى أن يكون قادرًا على تعديل ملف التكوين الذي ينتمي إلى Log4j. إذا تمكنوا من فعل ذلك، فمن المحتمل أن لديك مشاكل أكبر بين يديك على أي حال.
ومن المتوقع أن يكون هذا الإصدار الأخير هو الإصلاح الدائم النهائي للثغرة الأصلية، والتي قامت العديد من الشركات بإصلاحها بنفسها. ومع ذلك، فقد رأينا أيضًا عددًا من التحديثات الأخرى منذ التحديث الأولي لإغلاق الثغرات التي تم اكتشافها لاحقًا. مع القليل من الحظ، يجب أن تكون هذه نهاية ملحمة Log4Shell.