Apache Foundation annab kuu aja jooksul välja neljanda Log4j värskenduse, mis parandab rohkem potentsiaalseid turvaauke.
Selle kuu alguses populaarses Java-põhises logimispaketis "Log4j" avastatud turvahaavatavus sai tohutuks probleemiks lugematutele ettevõtetele ja tehnoloogilistele toodetele. Minecraft, Steam, Apple iCloud ja teised rakendused ja teenused pidid paigatud versiooniga uuendustega kiirustama, kuid Log4j probleemid pole veel täielikult lahendatud. Nüüd tuleb välja veel üks värskendus, mille eesmärk on lahendada veel üks võimalik turvaprobleem.
Apache Software Foundation avaldas Log4j versioon 2.17.1 esmaspäeval (kaudu Piiksuv arvuti), mis käsitleb peamiselt turvaviga, mis on märgistatud kui CVE-2021-44832. Haavatavus võib potentsiaalselt lubada koodi kaugkäivitamist (RCE), kasutades JDBC lisa, kui ründaja suudab juhtida Log4j logimise konfiguratsioonifaili. Probleemile on antud raskusaste "Mõõdukas", mis on madalam kui haavatavus, millest see kõik alguse sai - CVE-2021-44228
, mis on hinnatud "kriitiliseks". Checkmarxi turvauurija Yaniv Nizry nõudis tunnustust haavatavuse avastamise eest ja teavitades sellest Apache Software Foundationi.Apache kirjutas haavatavuse kirjelduses, "Apache Log4j2 versioonid 2.0-beta7 kuni 2.17.0 (välja arvatud turbeparanduse väljalasked 2.3.2 ja 2.12.4) on haavatavad koodi kaugkäivitamise (RCE) rünnakute suhtes, kui ründaja logimise konfiguratsioonifaili muutmise luba võib luua pahatahtliku konfiguratsiooni, kasutades JDBC lisajat andmeallikaga, mis viitab JNDI URI-le, mis võib käivitada kaugjuhtimise kood. See probleem lahendatakse, piirates JNDI andmeallikate nimesid Java-protokolliga Log4j2 versioonides 2.17.1, 2.12.4 ja 2.3.2.
Algne Log4j ärakasutamine, mida tuntakse ka kui "Log4Shell", võimaldas pahatahtliku koodi käivitamist paljudes serverites või rakendustes, mis kasutasid andmete logimiseks Log4j-d. Cloudflare'i tegevjuht Matthew Prince ütles, et ärakasutamist kasutatakse juba 1. detsembril, üle nädala enne selle avalikku tuvastamist ja vastavalt Washington Post, Google andis enam kui 500 insenerile ülesandeks ettevõtte koodi läbi valada, et tagada, et miski pole haavatav. See haavatavus pole kaugeltki nii tõsine, kuna ründaja peab siiski saama Log4j-le kuuluvat konfiguratsioonifaili muuta. Kui nad seda suudavad, on tõenäoline, et teil on niikuinii suuremad probleemid.
See viimane väljalase on eeldatavasti viimane püsiparandus esialgsele kasutusele, mille paljud ettevõtted juba ise parandasid. Siiski oleme pärast esialgset värskendust näinud ka mitmeid muid värskendusi, et sulgeda hiljem avastatud lüngad. Igasuguse õnne korral peaks see Log4Shelli saaga lõpuks lõppema.