Apache Foundation udruller den fjerde Log4j-opdatering på en måned, som løser flere potentielle sikkerhedssårbarheder.
Tidligere på måneden en sikkerhedssårbarhed opdaget i den populære Java-baserede logningspakke "Log4j" blev et massivt problem for utallige virksomheder og teknologiske produkter. Minecraft, Steam, Apple iCloud og andre applikationer og tjenester var nødt til at haste opdateringer med en patchet version, men Log4js problemer er endnu ikke blevet rettet fuldstændigt. Nu ruller endnu en opdatering ud, som har til formål at løse endnu et potentielt sikkerhedsproblem.
Apache Software Foundation frigivet version 2.17.1 af Log4j på mandag (via Blødende computer), som primært adresserer en sikkerhedsfejl mærket som CVE-2021-44832. Sårbarheden kan potentielt tillade fjernudførelse af kode (RCE) ved hjælp af JDBC Appender, hvis angriberen er i stand til at kontrollere Log4j-logningskonfigurationsfilen. Problemet har fået en "Moderat" alvorlighedsgrad, lavere end den sårbarhed, der startede det hele --
CVE-2021-44228, som er bedømt som "Kritisk". Checkmarx sikkerhedsforsker Yaniv Nizry hævdede kredit for at opdage sårbarheden og rapportere det til Apache Software Foundation.Apache skrev i sårbarhedsbeskrivelsen, "Apache Log4j2 versioner 2.0-beta7 til og med 2.17.0 (undtagen sikkerhedsrettelsesudgivelser 2.3.2 og 2.12.4) er sårbare over for et RCE-angreb (Remote Code Execution), hvor en angriber med tilladelse til at ændre logningskonfigurationsfilen kan konstruere en ondsindet konfiguration ved hjælp af en JDBC Appender med en datakilde, der refererer til en JNDI URI, som kan udføre ekstern kode. Dette problem er løst ved at begrænse JNDI-datakildenavne til java-protokollen i Log4j2 version 2.17.1, 2.12.4 og 2.3.2."
Den originale Log4j-udnyttelse, som også er kendt som "Log4Shell", tillod ondsindet kode at blive eksekveret på mange servere eller applikationer, der brugte Log4j til datalogning. Cloudflare CEO Matthew Prince sagde, at udnyttelsen blev brugt allerede den 1. december, over en uge før det blev offentligt identificeret, og ifølge Washington Post, Google gav over 500 ingeniører til opgave at gennemlæse virksomhedens kode for at sikre, at intet var sårbart. Denne sårbarhed er ikke nær så alvorlig, da en angriber stadig skal kunne ændre en konfigurationsfil tilhørende Log4j. Hvis de kan gøre det, er det sandsynligt, at du alligevel har større problemer på dine hænder.
Denne seneste udgivelse forventes at være den endelige permanente rettelse til den originale udnyttelse, som mange virksomheder allerede har rettet på egen hånd. Vi har dog også set en række andre opdateringer siden den første for at lukke smuthuller, der senere blev opdaget. Med lidt held burde dette endelig være slutningen på Log4Shell-sagaen.