Zaklada Apache izbacuje četvrto ažuriranje Log4j u mjesec dana, koje popravlja još potencijalnih sigurnosnih propusta.
Ranije ovog mjeseca, sigurnosna ranjivost otkrivena u popularnom paketu za bilježenje temeljenom na Javi "Log4j" postao veliki problem za bezbrojne tvrtke i tehnološke proizvode. Minecraft, Steam, Apple iCloud i druge aplikacije i servisi morali su požuriti ažuriranja sa zakrpanom verzijom, ali problemi Log4j-a još nisu u potpunosti riješeni. Sada izlazi još jedno ažuriranje koje ima za cilj riješiti još jedan potencijalni sigurnosni problem.
Objavio Apache Software Foundation verzija 2.17.1 Log4j u ponedjeljak (preko Blještavo računalo), koji prvenstveno rješava sigurnosni propust označen kao CVE-2021-44832. Ranjivost bi potencijalno mogla omogućiti daljinsko izvršavanje koda (RCE) pomoću JDBC Appendera ako napadač može kontrolirati Log4j konfiguracijsku datoteku zapisivanja. Problem je dobio ocjenu ozbiljnosti "Umjereno", nižu od ranjivosti koja je sve započela -- CVE-2021-44228
Apache je u opisu ranjivosti napisao, "Apache Log4j2 verzije 2.0-beta7 do 2.17.0 (isključujući izdanja sigurnosnih popravka 2.3.2 i 2.12.4) ranjive su na napad daljinskog izvršavanja koda (RCE) gdje napadač s dopuštenje za izmjenu konfiguracijske datoteke bilježenja može konstruirati zlonamjernu konfiguraciju pomoću JDBC Appendera s izvorom podataka koji se poziva na JNDI URI koji može izvršiti udaljeno kodirati. Ovaj je problem riješen ograničavanjem naziva JNDI izvora podataka na java protokol u verzijama Log4j2 2.17.1, 2.12.4 i 2.3.2."
Izvorni Log4j exploit, koji je također poznat kao "Log4Shell", omogućio je izvršenje zlonamjernog koda na mnogim poslužiteljima ili aplikacijama koje su koristile Log4j za bilježenje podataka. CEO Cloudflarea Matthew Prince rekao je da se exploit koristi već 1. prosinca, više od tjedan dana prije nego što je javno identificiran, i prema Washington Post, Google je zadužio više od 500 inženjera da prođu kroz kod tvrtke kako bi osigurali da ništa nije ranjivo. Ova ranjivost nije ni blizu tako ozbiljna, budući da napadač još uvijek mora moći modificirati konfiguracijsku datoteku koja pripada Log4j. Ako oni to mogu, vjerojatno je da ionako imate većih problema.
Očekuje se da će ovo najnovije izdanje biti konačno trajno rješenje za izvorni exploit, koji su mnoge tvrtke već same popravile. Međutim, vidjeli smo i niz drugih ažuriranja od prvog za zatvaranje rupa u zakonu koje su kasnije otkrivene. Uz malo sreće, ovo bi konačno trebao biti kraj sage o Log4Shell.