Az Apache Foundation egy hónapon belül kiadja a negyedik Log4j frissítést, amely további potenciális biztonsági réseket javít ki.
Korábban, ebben a hónapban, biztonsági rést fedeztek fel a népszerű "Log4j" Java-alapú naplózási csomagban számtalan vállalat és technológiai termék számára vált hatalmas problémává. A Minecraft, a Steam, az Apple iCloud és más alkalmazásoknak és szolgáltatásoknak javított verzióval kellett siettetniük a frissítéseket, de a Log4j problémáit még nem sikerült teljesen kijavítani. Most egy újabb frissítés jelenik meg, amely egy másik lehetséges biztonsági probléma megoldását célozza.
Megjelent az Apache Software Foundation A Log4j 2.17.1-es verziója hétfőn (keresztül Csipogó számítógép), amely elsősorban a következőként címkézett biztonsági hibát orvosolja CVE-2021-44832. A biztonsági rés távoli kódfuttatást (RCE) tehet lehetővé a JDBC függelék használatával, ha a támadó képes irányítani a Log4j naplózási konfigurációs fájlt. A probléma "közepes" súlyossági besorolást kapott, ami alacsonyabb, mint a sérülékenység, amely az egészet elindította.
CVE-2021-44228, amely "kritikus" besorolású. A Checkmarx biztonsági kutatója, Yaniv Nizry elismerte a sebezhetőség felfedezését és jelentse azt az Apache Software Foundation felé.Az Apache azt írta a sebezhetőség leírásában, "Az Apache Log4j2 2.0-beta7 és 2.17.0 közötti verziói (a 2.3.2 és 2.12.4 biztonsági javítások kivételével) ki vannak téve a távoli kódvégrehajtási (RCE) támadásoknak, ahol a támadó A naplózási konfigurációs fájl módosítási engedélye rosszindulatú konfigurációt hozhat létre egy JDBC-hozzáfűző segítségével olyan adatforrással, amely egy JNDI URI-re hivatkozik, amely távoli futtatást tud végrehajtani. kód. Ezt a problémát úgy javítják ki, hogy a JNDI adatforrásneveket a java protokollra korlátozzák a Log4j2 2.17.1, 2.12.4 és 2.3.2 verzióiban."
Az eredeti Log4j exploit, amely "Log4Shell" néven is ismert, lehetővé tette rosszindulatú kódok futtatását számos olyan szerveren vagy alkalmazásban, amelyek a Log4j-t használták adatnaplózásra. A Cloudflare vezérigazgatója, Matthew Prince azt mondta, hogy a kizsákmányolást felhasználták már december 1-én, több mint egy héttel azelőtt, hogy nyilvánosan azonosították volna, és alapján A Washington Post, A Google több mint 500 mérnököt bízott meg a vállalat kódjának átdolgozásával annak érdekében, hogy semmi se legyen sebezhető. Ez a sérülékenység közel sem olyan súlyos, mivel a támadónak továbbra is képesnek kell lennie a Log4j-hez tartozó konfigurációs fájl módosítására. Ha ezt megtehetik, akkor valószínűleg nagyobb gondok is vannak a kezében.
Ez a legújabb kiadás várhatóan az eredeti exploit végleges végleges javítása lesz, amelyet sok vállalat már saját maga javított ki. A kezdeti frissítés óta azonban számos más frissítést is láttunk a később felfedezett kiskapuk bezárására. Kis szerencsével ez végre a Log4Shell saga vége.