Apache Foundation meluncurkan pembaruan Log4j keempat dalam sebulan, yang memperbaiki lebih banyak potensi kerentanan keamanan.
Awal bulan ini, kerentanan keamanan ditemukan dalam paket logging populer berbasis Java "Log4j" menjadi masalah besar bagi banyak perusahaan dan produk teknologi. Minecraft, Steam, Apple iCloud, dan aplikasi serta layanan lainnya harus segera memperbarui dengan versi yang ditambal, tetapi masalah Log4j belum sepenuhnya diperbaiki. Kini pembaruan lain sedang diluncurkan, yang bertujuan untuk memperbaiki potensi masalah keamanan lainnya.
Apache Software Foundation dirilis versi 2.17.1 dari Log4j pada hari Senin (melalui Komputer Tidur), yang utamanya mengatasi kelemahan keamanan yang diberi label sebagai CVE-2021-44832. Kerentanan berpotensi memungkinkan eksekusi kode jarak jauh (RCE) menggunakan JDBC Appender jika penyerang dapat mengontrol file konfigurasi logging Log4j. Masalah ini diberi peringkat tingkat keparahan "Sedang", lebih rendah dari kerentanan yang menjadi awal masalah ini --
Apache menulis dalam deskripsi kerentanan, "Apache Log4j2 versi 2.0-beta7 hingga 2.17.0 (tidak termasuk rilis perbaikan keamanan 2.3.2 dan 2.12.4) rentan terhadap serangan eksekusi kode jarak jauh (RCE) di mana penyerang dengan izin untuk mengubah file konfigurasi logging dapat membuat konfigurasi berbahaya menggunakan JDBC Appender dengan sumber data yang merujuk pada JNDI URI yang dapat mengeksekusi jarak jauh kode. Masalah ini diperbaiki dengan membatasi nama sumber data JNDI ke protokol java di Log4j2 versi 2.17.1, 2.12.4, dan 2.3.2."
Eksploitasi Log4j asli, yang juga dikenal sebagai "Log4Shell", memungkinkan kode berbahaya dieksekusi di banyak server atau aplikasi yang menggunakan Log4j untuk pencatatan data. CEO Cloudflare Matthew Prince mengatakan bahwa eksploitasi tersebut sedang digunakan paling cepat tanggal 1 Desember, lebih dari seminggu sebelum diidentifikasi secara publik, dan berdasarkan Washington Post, Google menugaskan lebih dari 500 insinyur untuk mempelajari kode perusahaan untuk memastikan tidak ada yang rentan. Kerentanan ini tidak terlalu parah, karena penyerang masih harus dapat memodifikasi file konfigurasi milik Log4j. Jika mereka bisa melakukan itu, kemungkinan besar Anda mempunyai masalah yang lebih besar.
Rilis terbaru ini diharapkan menjadi perbaikan permanen terakhir untuk eksploitasi asli, yang sudah diperbaiki sendiri oleh banyak perusahaan. Namun, kami juga melihat sejumlah pembaruan lain sejak awal untuk menutup celah yang kemudian ditemukan. Jika beruntung, ini akhirnya menjadi akhir dari kisah Log4Shell.