La Fundación Apache está implementando la cuarta actualización de Log4j en un mes, que corrige más vulnerabilidades de seguridad potenciales.
A principios de este mes, una vulnerabilidad de seguridad descubierta en el popular paquete de registro basado en Java "Log4j" se convirtió en un problema enorme para innumerables empresas y productos tecnológicos. Minecraft, Steam, Apple iCloud y otras aplicaciones y servicios tuvieron que acelerar las actualizaciones con una versión parcheada, pero los problemas de Log4j aún no se han solucionado por completo. Ahora se está implementando otra actualización, cuyo objetivo es solucionar otro posible problema de seguridad.
Lanzamiento de la Fundación de Software Apache versión 2.17.1 de Log4j los lunes (a través de Computadora que suena), que aborda principalmente una falla de seguridad etiquetada como CVE-2021-44832. La vulnerabilidad podría permitir la ejecución remota de código (RCE) utilizando el JDBC Appender si el atacante puede controlar el archivo de configuración de registro Log4j. Al problema se le ha otorgado una calificación de gravedad "Moderada", inferior a la vulnerabilidad que inició todo.
CVE-2021-44228, que está clasificado como "crítico". Yaniv Nizry, investigador de seguridad de Checkmarx se atribuyó el crédito por descubrir la vulnerabilidad e informarlo a la Apache Software Foundation.Apache escribió en la descripción de la vulnerabilidad, "Las versiones de Apache Log4j2 2.0-beta7 a 2.17.0 (excluyendo las versiones de corrección de seguridad 2.3.2 y 2.12.4) son vulnerables a un ataque de ejecución remota de código (RCE) en el que un atacante con El permiso para modificar el archivo de configuración de registro puede construir una configuración maliciosa usando un Appender JDBC con una fuente de datos que hace referencia a un URI JNDI que puede ejecutarse de forma remota. código. Este problema se soluciona limitando los nombres de fuentes de datos JNDI al protocolo java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2.
El exploit Log4j original, también conocido como "Log4Shell", permitía la ejecución de código malicioso en muchos servidores o aplicaciones que utilizaban Log4j para el registro de datos. El CEO de Cloudflare, Matthew Prince, dijo que se estaba utilizando el exploit tan pronto como el 1 de diciembre, más de una semana antes de que fuera identificado públicamente, y de acuerdo a El Correo de Washington, Google encargó a más de 500 ingenieros que revisaran el código de la empresa para asegurarse de que nada fuera vulnerable. Esta vulnerabilidad no es tan grave, ya que un atacante aún necesita poder modificar un archivo de configuración que pertenece a Log4j. Si pueden hacer eso, es probable que de todos modos tengas problemas mayores entre manos.
Se espera que esta última versión sea la solución definitiva y permanente para el exploit original, que muchas empresas ya solucionaron por su cuenta. Sin embargo, también hemos visto otras actualizaciones desde la inicial para cerrar lagunas que se descubrieron más tarde. Con un poco de suerte, este debería ser finalmente el final de la saga Log4Shell.