Apache Foundation julkaisee kuukauden sisällä neljännen Log4j-päivityksen, joka korjaa lisää mahdollisia tietoturva-aukkoja.
Aikaisemmin tässä kuussa, suojaushaavoittuvuus, joka löydettiin suositusta Java-pohjaisesta lokipaketista "Log4j" siitä tuli valtava ongelma lukemattomille yrityksille ja teknologiatuotteille. Minecraft, Steam, Apple iCloud ja muut sovellukset ja palvelut joutuivat kiirehtimään päivityksiä korjatulla versiolla, mutta Log4j: n ongelmia ei ole vielä täysin korjattu. Nyt on tulossa uusi päivitys, jonka tarkoituksena on korjata toinen mahdollinen tietoturvaongelma.
Apache Software Foundation julkaistiin Log4j: n versio 2.17.1 maanantaina (kautta Piikuva tietokone), joka ratkaisee ensisijaisesti tietoturvavirheen, joka on merkitty nimellä CVE-2021-44832. Haavoittuvuus saattaa mahdollistaa koodin etäsuorittamisen (RCE) JDBC-lisäyksen avulla, jos hyökkääjä pystyy hallitsemaan Log4j-lokimääritystiedostoa. Ongelmalle on annettu "kohtalainen" vakavuusluokitus, alhaisempi kuin haavoittuvuus, josta kaikki alkoi -
Apache kirjoitti haavoittuvuuden kuvaukseen, "Apache Log4j2 -versiot 2.0-beta7 - 2.17.0 (lukuun ottamatta tietoturvakorjausjulkaisuja 2.3.2 ja 2.12.4) ovat alttiina koodin etäsuorittamisen (RCE) hyökkäyksille, joissa hyökkääjä lokimääritystiedoston muokkausoikeus voi muodostaa haitallisen kokoonpanon käyttämällä JDBC-lisäosaa tietolähteellä, joka viittaa JNDI URI: hen, joka voi suorittaa etäkäskyn koodi. Tämä ongelma on korjattu rajoittamalla JNDI-tietolähteiden nimet java-protokollaan Log4j2-versioissa 2.17.1, 2.12.4 ja 2.3.2."
Alkuperäinen Log4j-hyödyntäminen, joka tunnetaan myös nimellä "Log4Shell", salli haitallisen koodin suorittamisen monissa palvelimissa tai sovelluksissa, jotka käyttivät Log4j: tä tietojen kirjaamiseen. Cloudflaren toimitusjohtaja Matthew Prince sanoi, että hyväksikäyttöä käytettiin jo 1. joulukuuta, yli viikkoa ennen kuin se tunnistettiin julkisesti, ja mukaan Washington Post, Google antoi yli 500 insinöörille tehtäväksi käydä läpi yrityksen koodia varmistaakseen, että mikään ei ole haavoittuvaa. Tämä haavoittuvuus ei ole läheskään yhtä vakava, koska hyökkääjän on silti pystyttävä muokkaamaan Log4j: hen kuuluvaa määritystiedostoa. Jos he voivat tehdä sen, on todennäköistä, että sinulla on joka tapauksessa suurempia ongelmia käsissäsi.
Tämän uusimman julkaisun odotetaan olevan viimeinen pysyvä korjaus alkuperäiselle hyväksikäytölle, jonka monet yritykset ovat jo korjanneet itse. Olemme kuitenkin nähneet myös useita muita päivityksiä alkuperäisen päivityksen jälkeen myöhemmin havaittujen porsaanreikien sulkemiseksi. Hyvällä tuurilla tämän pitäisi vihdoin olla Log4Shell-saagan loppu.