Το Apache Foundation κυκλοφορεί την τέταρτη ενημέρωση Log4j σε ένα μήνα, η οποία διορθώνει περισσότερες πιθανές ευπάθειες ασφαλείας.
Νωρίτερα αυτό το μήνα, μια ευπάθεια ασφαλείας που ανακαλύφθηκε στο δημοφιλές πακέτο καταγραφής που βασίζεται σε Java "Log4j" έγινε τεράστιο πρόβλημα για αμέτρητες εταιρείες και προϊόντα τεχνολογίας. Το Minecraft, το Steam, το Apple iCloud και άλλες εφαρμογές και υπηρεσίες χρειάστηκε να ενημερώσουν βιαστικά με μια ενημερωμένη έκδοση, αλλά τα προβλήματα του Log4j δεν έχουν ακόμη επιλυθεί πλήρως. Τώρα κυκλοφορεί μια άλλη ενημέρωση, η οποία στοχεύει να διορθώσει ένα άλλο πιθανό ζήτημα ασφαλείας.
Κυκλοφόρησε το Ίδρυμα Λογισμικού Apache έκδοση 2.17.1 του Log4j την Δευτέρα (μέσω Υπολογιστής Bleeping), το οποίο αντιμετωπίζει κυρίως ένα ελάττωμα ασφαλείας με την ένδειξη ως CVE-2021-44832. Η ευπάθεια θα μπορούσε ενδεχομένως να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα (RCE) με χρήση του προσαρτήματος JDBC, εάν ο εισβολέας μπορεί να ελέγξει το αρχείο διαμόρφωσης καταγραφής Log4j. Το ζήτημα έχει βαθμολογηθεί ως "Μέτρια" σοβαρότητα, χαμηλότερη από την ευπάθεια που ξεκίνησε όλα --
CVE-2021-44228, το οποίο βαθμολογείται ως "Κρίσιμο". Ο ερευνητής ασφαλείας του Checkmarx, Yaniv Nizry διεκδίκησε τα εύσημα για την ανακάλυψη της ευπάθειας και να το αναφέρετε στο Apache Software Foundation.Ο Apache έγραψε στην περιγραφή ευπάθειας, "Οι εκδόσεις Apache Log4j2 2.0-beta7 έως 2.17.0 (εξαιρουμένων των εκδόσεων επιδιόρθωσης ασφαλείας 2.3.2 και 2.12.4) είναι ευάλωτες σε μια επίθεση απομακρυσμένης εκτέλεσης κώδικα (RCE) όπου ένας εισβολέας με η άδεια τροποποίησης του αρχείου διαμόρφωσης καταγραφής μπορεί να δημιουργήσει μια κακόβουλη διαμόρφωση χρησιμοποιώντας ένα JDBC Appender με μια πηγή δεδομένων που αναφέρεται σε ένα JNDI URI που μπορεί να εκτελέσει απομακρυσμένα κώδικας. Αυτό το ζήτημα επιδιορθώνεται περιορίζοντας τα ονόματα πηγών δεδομένων JNDI στο πρωτόκολλο java στις εκδόσεις Log4j2 2.17.1, 2.12.4 και 2.3.2."
Το αρχικό exploit Log4j, το οποίο είναι επίσης γνωστό ως "Log4Shell", επέτρεψε την εκτέλεση κακόβουλου κώδικα σε πολλούς διακομιστές ή εφαρμογές που χρησιμοποιούσαν το Log4j για την καταγραφή δεδομένων. Ο Διευθύνων Σύμβουλος της Cloudflare, Matthew Prince, δήλωσε ότι το exploit χρησιμοποιούνταν ήδη από την 1η Δεκεμβρίου, πάνω από μια εβδομάδα πριν αναγνωριστεί δημόσια και σύμφωνα με Η Washington Post, Η Google ανέθεσε σε πάνω από 500 μηχανικούς να περάσουν τον κώδικα της εταιρείας για να διασφαλίσουν ότι τίποτα δεν ήταν ευάλωτο. Αυτή η ευπάθεια δεν είναι τόσο σοβαρή, καθώς ένας εισβολέας πρέπει ακόμα να μπορεί να τροποποιήσει ένα αρχείο διαμόρφωσης που ανήκει στο Log4j. Εάν μπορούν να το κάνουν αυτό, είναι πιθανό να έχετε μεγαλύτερα προβλήματα στα χέρια σας ούτως ή άλλως.
Αυτή η τελευταία έκδοση αναμένεται να είναι η τελική μόνιμη διόρθωση για το αρχικό exploit, το οποίο πολλές εταιρείες έχουν ήδη επιδιορθώσει από μόνες τους. Ωστόσο, έχουμε δει επίσης μια σειρά από άλλες ενημερώσεις από την αρχική για να κλείσουμε κενά που ανακαλύφθηκαν αργότερα. Με κάθε τύχη, αυτό θα πρέπει επιτέλους να είναι το τέλος του έπος του Log4Shell.