Log4j 2.17.1 tagad ir pieejams ar vairākiem Log4Shell ievainojamības labojumiem

Apache fonds mēneša laikā izlaiž ceturto Log4j atjauninājumu, kas novērš vairāk iespējamo drošības ievainojamību.

Šā mēneša sākumā drošības ievainojamība, kas atklāta populārajā Java reģistrēšanas pakotnē "Log4j" kļuva par milzīgu problēmu neskaitāmiem uzņēmumiem un tehnoloģiju produktiem. Minecraft, Steam, Apple iCloud un citām lietojumprogrammām un pakalpojumiem bija jāsteidzas ar atjauninājumiem ar labotu versiju, taču Log4j problēmas vēl nav pilnībā novērstas. Tagad tiek ieviests vēl viens atjauninājums, kura mērķis ir novērst citu iespējamo drošības problēmu.

Izlaists Apache Software Foundation Log4j versija 2.17.1 pirmdien (caur Pīkstošs dators), kas galvenokārt novērš drošības trūkumu, kas apzīmēts kā CVE-2021-44832. Ievainojamība, iespējams, pieļauj attālo koda izpildi (RCE), izmantojot JDBC papildinājumu, ja uzbrucējs spēj kontrolēt Log4j reģistrēšanas konfigurācijas failu. Problēmai ir piešķirts mērens smaguma novērtējums, kas ir zemāks par ievainojamību, no kuras tas viss sākās.

CVE-2021-44228, kas ir novērtēts kā "Kritisks". Checkmarx drošības pētnieks Janivs Nizrijs pieprasīja kredītu par ievainojamības atklāšanu un ziņojot par to Apache Software Foundation.

Apache ievainojamības aprakstā rakstīja, "Apache Log4j2 versijas 2.0-beta7 līdz 2.17.0 (izņemot drošības labojumu laidienus 2.3.2 un 2.12.4) ir neaizsargātas pret attālās koda izpildes (RCE) uzbrukumu, kurā uzbrucējs ar atļauja modificēt reģistrēšanas konfigurācijas failu var izveidot ļaunprātīgu konfigurāciju, izmantojot JDBC papildinājumu ar datu avotu, kas atsaucas uz JNDI URI, kas var izpildīt attālo kodu. Šī problēma ir novērsta, ierobežojot JNDI datu avotu nosaukumus ar Java protokolu Log4j2 versijās 2.17.1, 2.12.4 un 2.3.2."

Sākotnējā Log4j izmantošana, kas pazīstama arī kā “Log4Shell”, ļāva izpildīt ļaunprātīgu kodu daudzos serveros vai lietojumprogrammās, kas datu reģistrēšanai izmantoja Log4j. Cloudflare izpilddirektors Metjū Prinss sacīja, ka ekspluatācija tiek izmantota jau 1. decembrī, vairāk nekā nedēļu pirms tas tika publiski identificēts, un saskaņā ar The Washington Post, Google uzdeva vairāk nekā 500 inženieriem ieviest uzņēmuma kodu, lai nodrošinātu, ka nekas nav ievainojams. Šī ievainojamība ne tuvu nav tik nopietna, jo uzbrucējam joprojām ir jāspēj modificēt Log4j piederošais konfigurācijas fails. Ja viņi to var izdarīt, visticamāk, jums jebkurā gadījumā ir lielākas problēmas.

Paredzams, ka šis jaunākais laidiens būs pēdējais pastāvīgais labojums sākotnējai izmantošanai, ko daudzi uzņēmumi jau ir labojuši paši. Tomēr kopš sākotnējā atjauninājuma esam redzējuši arī vairākus citus atjauninājumus, lai novērstu vēlāk atklātās nepilnības. Ja veiksies, tam beidzot vajadzētu būt Log4Shell sāgas beigām.