Apache Foundation ახორციელებს მეოთხე Log4j განახლებას ერთ თვეში, რომელიც აფიქსირებს უსაფრთხოების უფრო მეტ პოტენციურ დაუცველობას.
ამ თვის დასაწყისში, უსაფრთხოების დაუცველობა აღმოჩენილია პოპულარულ Java-ზე დაფუძნებულ ჟურნალის პაკეტში "Log4j" იქცა მასიურ პრობლემად უამრავი კომპანიისა და ტექნიკური პროდუქტისთვის. Minecraft-ს, Steam-ს, Apple iCloud-ს და სხვა აპლიკაციებსა და სერვისებს მოუწიათ განახლებების დაჩქარება დაყენებული ვერსიით, მაგრამ Log4j-ის პრობლემები ჯერ ბოლომდე არ მოგვარებულა. ახლა კიდევ ერთი განახლება გამოდის, რომელიც მიზნად ისახავს უსაფრთხოების კიდევ ერთი პოტენციური პრობლემის გამოსწორებას.
გამოვიდა Apache Software Foundation Log4j-ის 2.17.1 ვერსია ორშაბათს (მეშვეობით ბლეპინგ კომპიუტერი), რომელიც უპირველეს ყოვლისა ეხება უსაფრთხოების ხარვეზს ეტიკეტირებული როგორც CVE-2021-44832. დაუცველობამ შესაძლოა დაუშვას კოდის დისტანციური შესრულება (RCE) JDBC Appender-ის გამოყენებით, თუ თავდამსხმელს შეუძლია აკონტროლოს Log4j logging კონფიგურაციის ფაილი. საკითხს მიენიჭა "ზომიერი" სიმძიმის ნიშანი, უფრო დაბალი ვიდრე დაუცველობა, რომელმაც ეს ყველაფერი დაიწყო --
CVE-2021-44228, რომელიც შეფასებულია "კრიტიკულად". Checkmarx უსაფრთხოების მკვლევარი იანივ ნიზრი მოწყვლადობის აღმოჩენის დამსახურება მოითხოვა და შეატყობინეთ ამის შესახებ Apache Software Foundation-ს.აპაჩმა დაუცველობის აღწერაში დაწერა, "Apache Log4j2 ვერსიები 2.0-beta7-დან 2.17.0-მდე (უსაფრთხოების შესწორების გამოშვებების 2.3.2 და 2.12.4 გამოკლებით) დაუცველია დისტანციური კოდის შესრულების (RCE) შეტევის მიმართ, სადაც თავდამსხმელი ლოგის კონფიგურაციის ფაილის შეცვლის ნებართვას შეუძლია შექმნას მავნე კონფიგურაცია JDBC Appender-ის გამოყენებით მონაცემთა წყაროს მითითებით JNDI URI-ზე, რომელსაც შეუძლია დისტანციურად შესრულება კოდი. ეს პრობლემა მოგვარებულია JNDI მონაცემთა წყაროს სახელების java პროტოკოლით შეზღუდვით Log4j2 ვერსიებში 2.17.1, 2.12.4 და 2.3.2."
ორიგინალური Log4j ექსპლოიტი, რომელიც ასევე ცნობილია როგორც "Log4Shell", საშუალებას აძლევდა მავნე კოდის შესრულებას ბევრ სერვერზე ან აპლიკაციაზე, რომლებიც Log4j-ს იყენებდნენ მონაცემთა აღრიცხვისთვის. Cloudflare-ის აღმასრულებელმა დირექტორმა მეთიუ პრინცმა თქვა, რომ ექსპლოიტი გამოიყენებოდა ჯერ კიდევ 1 დეკემბერს, მის საჯაროდ იდენტიფიცირებამდე ერთი კვირით ადრე და მიხედვით ვაშინგტონ პოსტი, Google-მა 500-ზე მეტ ინჟინერს დაავალა კომპანიის კოდის შესწავლა, რათა დაუცველი არაფერი ყოფილიყო. ეს დაუცველობა არ არის ისეთი სერიოზული, რადგან თავდამსხმელს ჯერ კიდევ უნდა შეეძლოს Log4j-ის კუთვნილი კონფიგურაციის ფაილის შეცვლა. თუ მათ შეუძლიათ ამის გაკეთება, სავარაუდოა, რომ თქვენ მაინც გაქვთ უფრო დიდი პრობლემები თქვენს ხელში.
მოსალოდნელია, რომ ეს უახლესი გამოშვება იქნება ორიგინალური ექსპლოიტის საბოლოო მუდმივი შესწორება, რომელიც ბევრმა კომპანიამ უკვე დააფიქსირა თავისით. თუმცა, ჩვენ ასევე ვნახეთ მრავალი სხვა განახლება საწყისიდან მოყოლებული, მოგვიანებით აღმოჩენილი ხარვეზების დახურვის მიზნით. ნებისმიერი იღბლით, ეს საბოლოოდ უნდა იყოს Log4Shell საგის დასასრული.