Nadace Apache Foundation vydává čtvrtou aktualizaci Log4j za měsíc, která opravuje další potenciální bezpečnostní chyby.
Dříve tento měsíc, bezpečnostní chyba objevená v oblíbeném logovacím balíčku založeném na Javě "Log4j" se stal obrovským problémem pro nespočet společností a technologických produktů. Minecraft, Steam, Apple iCloud a další aplikace a služby musely přispěchat s aktualizacemi s opravenou verzí, ale problémy Log4j ještě nebyly zcela vyřešeny. Nyní se vydává další aktualizace, která má za cíl opravit další potenciální bezpečnostní problém.
Vydána nadace Apache Software Foundation verze 2.17.1 Log4j v Pondělí (přes Pípavý počítač), který primárně řeší bezpečnostní chybu označenou jako CVE-2021-44832. Tato chyba zabezpečení by mohla potenciálně umožnit vzdálené spuštění kódu (RCE) pomocí JDBC Appender, pokud je útočník schopen ovládat konfigurační soubor protokolování Log4j. Problému bylo uděleno hodnocení závažnosti „Střední“, nižší než zranitelnost, která to všechno začala --
Apache napsal v popisu zranitelnosti, "Apache Log4j2 verze 2.0-beta7 až 2.17.0 (kromě bezpečnostních oprav 2.3.2 a 2.12.4) jsou zranitelné vůči útoku vzdáleného spuštění kódu (RCE), kdy útočník s oprávnění k úpravě konfiguračního souboru protokolování může vytvořit škodlivou konfiguraci pomocí JDBC Appender se zdrojem dat odkazujícím na JNDI URI, který může spouštět vzdálené kód. Tento problém je vyřešen omezením názvů zdrojů dat JNDI na protokol Java v Log4j2 verze 2.17.1, 2.12.4 a 2.3.2."
Původní zneužití Log4j, které je také známé jako „Log4Shell“, umožnilo spuštění škodlivého kódu na mnoha serverech nebo aplikacích, které používaly Log4j pro protokolování dat. CEO Cloudflare Matthew Prince řekl, že exploit byl používán již 1. prosincevíce než týden předtím, než byla veřejně identifikována, a podle Washington Post, Google pověřil více než 500 inženýrů, aby prolili firemní kód, aby zajistili, že nic nebude zranitelné. Tato chyba zabezpečení není zdaleka tak závažná, protože útočník stále musí mít možnost upravit konfigurační soubor patřící Log4j. Pokud to dokážou, je pravděpodobné, že stejně máte větší problémy na rukou.
Očekává se, že toto nejnovější vydání bude konečnou trvalou opravou původního exploitu, který již mnoho společností opravilo samo. Od té první jsme však také viděli řadu dalších aktualizací, které zacelily mezery, které byly později objeveny. S trochou štěstí by to měl být konečně konec ságy Log4Shell.