קרן Apache מוציאה את העדכון הרביעי של Log4j תוך חודש, אשר מתקן פרצות אבטחה פוטנציאליות נוספות.
מוקדם יותר החודש, פגיעות אבטחה שהתגלתה בחבילת הרישום הפופולרית מבוססת Java "Log4j" הפך לבעיה עצומה עבור אינספור חברות ומוצרי טכנולוגיה. Minecraft, Steam, Apple iCloud ויישומים ושירותים אחרים נאלצו להאיץ עדכונים עם גרסה מתוקנת, אך הבעיות של Log4j עדיין לא תוקנו לחלוטין. כעת יוצא עדכון נוסף, שמטרתו לתקן בעיית אבטחה פוטנציאלית נוספת.
קרן התוכנה של Apache שוחררה גרסה 2.17.1 של Log4j ביום שני (באמצעות מחשב מצמרר), אשר מטפלת בעיקר בפגם אבטחה שכותרתו כ CVE-2021-44832. הפגיעות עלולה לאפשר ביצוע קוד מרחוק (RCE) באמצעות ה-JDBC Appender אם התוקף מסוגל לשלוט בקובץ תצורת הרישום של Log4j. הבעיה קיבלה דירוג חומרה "בינוני", נמוך מהפגיעות שהתחילה את הכל -- CVE-2021-44228, אשר מדורג "קריטי". חוקר האבטחה של צ'קמארקס יניב נזרי תבע קרדיט על גילוי הפגיעות ודיווח על כך ל-Apache Software Foundation.
Apache כתב בתיאור הפגיעות, "Apache Log4j2 גרסאות 2.0-beta7 עד 2.17.0 (לא כולל מהדורות תיקון אבטחה 2.3.2 ו-2.12.4) חשופות להתקפת ביצוע קוד מרחוק (RCE) שבה תוקף עם הרשאה לשנות את קובץ תצורת הרישום יכולה לבנות תצורה זדונית באמצעות JDBC Appender עם מקור נתונים המפנה ל-JNDI URI שיכול להפעיל מרחוק קוד. בעיה זו תוקנה על ידי הגבלת שמות מקור הנתונים של JNDI לפרוטוקול Java בגירסאות Log4j2 2.17.1, 2.12.4 ו-2.3.2."
הניצול המקורי של Log4j, הידוע גם בשם "Log4Shell", אפשר להפעיל קוד זדוני בשרתים או יישומים רבים שהשתמשו ב-Log4j לרישום נתונים. מנכ"ל Cloudflare, מתיו פרינס, אמר כי נעשה שימוש בניצול כבר ב-1 בדצמבר, יותר משבוע לפני שהוא זוהה בפומבי, ו לפי הוושינגטון פוסט, גוגל הטילה על למעלה מ-500 מהנדסים לעבור על הקוד של החברה כדי לוודא ששום דבר לא פגיע. פגיעות זו אינה חמורה בשום מקום, שכן תוקף עדיין צריך להיות מסוגל לשנות קובץ תצורה השייך ל-Log4j. אם הם יכולים לעשות את זה, סביר להניח שיש לך בעיות גדולות יותר בידיים שלך בכל מקרה.
המהדורה האחרונה הזו צפויה להיות התיקון הקבוע הסופי עבור הניצול המקורי, שחברות רבות כבר תיקנו בעצמן. עם זאת, ראינו גם מספר עדכונים אחרים מאז העדכון הראשוני לסגירת פרצות שהתגלו מאוחר יותר. עם קצת מזל, זה אמור להיות סוף סוף הסאגה של Log4Shell.