„Apache Foundation“ per mėnesį išleidžia ketvirtąjį „Log4j“ naujinimą, kuris pašalina daugiau galimų saugumo spragų.
Anksčiau šį mėnesį saugos pažeidžiamumas, aptiktas populiariame „Java“ pagrindu veikiančiame registravimo pakete „Log4j“ tapo didžiule problema daugeliui įmonių ir technologijų produktų. „Minecraft“, „Steam“, „Apple iCloud“ ir kitos programos bei paslaugos turėjo skubėti atnaujinti su pataisyta versija, tačiau „Log4j“ problemos dar nebuvo iki galo ištaisytos. Dabar išleidžiamas dar vienas naujinimas, kuriuo siekiama išspręsti kitą galimą saugos problemą.
Išleido „Apache Software Foundation“. Log4j 2.17.1 versija pirmadienį (per Blyksnis kompiuteris), kuris pirmiausia pašalina saugos trūkumą, pažymėtą kaip CVE-2021-44832. Pažeidžiamumas gali leisti nuotoliniu būdu vykdyti kodą (RCE) naudojant JDBC priedą, jei užpuolikas gali valdyti Log4j registravimo konfigūracijos failą. Problemai buvo suteiktas „vidutinio sunkumo“ įvertinimas, žemesnis nei pažeidžiamumas, nuo kurio viskas prasidėjo –
CVE-2021-44228, kuris įvertintas „Kritiniu“. „Checkmarx“ saugumo tyrinėtojas Yaniv Nizry prisiėmė kreditą už pažeidžiamumo atradimą ir pranešti apie tai „Apache Software Foundation“.„Apache“ pažeidžiamumo aprašyme rašė, „Apache Log4j2 2.0–beta7–2.17.0 versijos (išskyrus saugos pataisų leidimus 2.3.2 ir 2.12.4) yra pažeidžiamos nuotolinio kodo vykdymo (RCE) atakai, kai užpuolikas leidimas keisti registravimo konfigūracijos failą gali sukurti kenkėjišką konfigūraciją naudojant JDBC priedėlį su duomenų šaltiniu, nurodantį JNDI URI, kuris gali vykdyti nuotolinį kodas. Ši problema išspręsta apribojant JNDI duomenų šaltinių pavadinimus iki Java protokolo Log4j2 2.17.1, 2.12.4 ir 2.3.2 versijose.
Originalus Log4j išnaudojimas, kuris taip pat žinomas kaip „Log4Shell“, leido vykdyti kenkėjišką kodą daugelyje serverių ar programų, kurios naudojo Log4j duomenų registravimui. „Cloudflare“ generalinis direktorius Matthew Prince'as teigė, kad išnaudojimas buvo naudojamas jau gruodžio 1 d, daugiau nei savaitę prieš tai buvo viešai nustatyta, ir pagal „The Washington Post“., „Google“ pavedė daugiau nei 500 inžinierių perleisti įmonės kodą, kad įsitikintų, jog niekas nėra pažeidžiamas. Šis pažeidžiamumas toli gražu nėra toks rimtas, nes užpuolikas vis tiek turi turėti galimybę modifikuoti konfigūracijos failą, priklausantį Log4j. Jei jie gali tai padaryti, tikėtina, kad vis tiek turėsite didesnių problemų.
Tikimasi, kad ši naujausia versija bus galutinis nuolatinis pirminio išnaudojimo pataisymas, kurį daugelis kompanijų jau ištaisė pačios. Tačiau nuo pradinio atnaujinimo matėme ir daugybę kitų naujinimų, kuriais siekiama panaikinti vėliau aptiktas spragas. Jei pasiseks, tai pagaliau turėtų būti „Log4Shell“ sagos pabaiga.