La Apache Foundation sta lanciando il quarto aggiornamento Log4j in un mese, che risolve ulteriori potenziali vulnerabilità della sicurezza.
All'inizio di questo mese, una vulnerabilità di sicurezza scoperta nel popolare pacchetto di logging basato su Java "Log4j" è diventato un grosso problema per innumerevoli aziende e prodotti tecnologici. Minecraft, Steam, Apple iCloud e altre applicazioni e servizi hanno dovuto affrettare gli aggiornamenti con una versione con patch, ma i problemi di Log4j non sono stati ancora completamente risolti. Ora è in fase di lancio un altro aggiornamento, che mira a risolvere un altro potenziale problema di sicurezza.
Rilasciato l'Apache Software Foundation versione 2.17.1 di Log4j di lunedi (attraverso Computer che suona), che risolve principalmente una falla di sicurezza etichettata come CVE-2021-44832. La vulnerabilità potrebbe potenzialmente consentire l'esecuzione di codice in modalità remota (RCE) utilizzando l'appender JDBC se l'autore dell'attacco è in grado di controllare il file di configurazione della registrazione Log4j. Al problema è stata assegnata una valutazione di gravità "Moderata", inferiore alla vulnerabilità da cui tutto ha avuto inizio:
Apache ha scritto nella descrizione della vulnerabilità, "Le versioni di Apache Log4j2 da 2.0-beta7 a 2.17.0 (escluse le versioni di correzione di sicurezza 2.3.2 e 2.12.4) sono vulnerabili a un attacco di esecuzione di codice remoto (RCE) in cui un utente malintenzionato con l'autorizzazione a modificare il file di configurazione della registrazione può creare una configurazione dannosa utilizzando un Appender JDBC con un'origine dati che fa riferimento a un URI JNDI che può essere eseguito in remoto codice. Questo problema viene risolto limitando i nomi delle origini dati JNDI al protocollo Java nelle versioni Log4j2 2.17.1, 2.12.4 e 2.3.2."
L'exploit originale Log4j, noto anche come "Log4Shell", consentiva l'esecuzione di codice dannoso su molti server o applicazioni che utilizzavano Log4j per la registrazione dei dati. Il CEO di Cloudflare, Matthew Prince, ha affermato che l'exploit è stato utilizzato già dal 1 dicembre, più di una settimana prima che fosse pubblicamente identificato, e secondo Il Washington Post, Google ha incaricato oltre 500 ingegneri di analizzare il codice dell'azienda per garantire che nulla fosse vulnerabile. Questa vulnerabilità non è affatto grave, poiché un utente malintenzionato deve comunque essere in grado di modificare un file di configurazione appartenente a Log4j. Se riescono a farlo, è probabile che tu abbia comunque problemi più grandi tra le mani.
Si prevede che quest'ultima versione costituirà la soluzione definitiva e permanente all'exploit originale, che molte aziende hanno già risolto autonomamente. Tuttavia, abbiamo visto anche una serie di altri aggiornamenti rispetto a quello iniziale per colmare le lacune che sono state successivamente scoperte. Con un po' di fortuna, questa dovrebbe finalmente essere la fine della saga di Log4Shell.