De Apache Foundation rolt de vierde Log4j-update in een maand uit, die meer potentiële beveiligingsproblemen verhelpt.
Eerder deze maand, een beveiligingsprobleem ontdekt in het populaire Java-gebaseerde logpakket "Log4j" werd een enorm probleem voor talloze bedrijven en technische producten. Minecraft, Steam, Apple iCloud en andere applicaties en diensten moesten updates haasten met een gepatchte versie, maar de problemen van Log4j zijn nog niet volledig opgelost. Nu wordt er weer een nieuwe update uitgerold, die tot doel heeft een ander potentieel beveiligingsprobleem op te lossen.
De Apache Software Foundation vrijgegeven versie 2.17.1 van Log4j op maandag (via Piepende computer), dat voornamelijk een beveiligingsfout aanpakt met de naam CVE-2021-44832. Het beveiligingslek kan mogelijk externe code-uitvoering (RCE) mogelijk maken met behulp van de JDBC-appender als de aanvaller het Log4j-logboekconfiguratiebestand kan controleren. Het probleem heeft de ernstgraad 'Gematigd' gekregen, lager dan de kwetsbaarheid waarmee het allemaal begon --
CVE-2021-44228, dat als "kritisch" wordt beoordeeld. Checkmarx-beveiligingsonderzoeker Yaniv Nizry claimde de eer voor het ontdekken van de kwetsbaarheid en rapporteert dit aan de Apache Software Foundation.Apache schreef in de beschrijving van de kwetsbaarheid: "Apache Log4j2 versies 2.0-beta7 tot en met 2.17.0 (exclusief beveiligingsfix releases 2.3.2 en 2.12.4) zijn kwetsbaar voor een Remote Code Execution (RCE) aanval waarbij een aanvaller met toestemming om het logconfiguratiebestand te wijzigen kan een kwaadaardige configuratie construeren met behulp van een JDBC-appender met een gegevensbron die verwijst naar een JNDI-URI die op afstand kan worden uitgevoerd code. Dit probleem wordt opgelost door de namen van JNDI-gegevensbronnen te beperken tot het Java-protocol in Log4j2 versies 2.17.1, 2.12.4 en 2.3.2."
De oorspronkelijke Log4j-exploit, ook wel bekend als "Log4Shell", maakte het mogelijk dat kwaadaardige code werd uitgevoerd op veel servers of applicaties die Log4j gebruikten voor datalogging. Cloudflare-CEO Matthew Prince zei dat de exploit werd gebruikt al op 1 december, ruim een week voordat het publiekelijk werd geïdentificeerd, en volgens De Washingtonpost, Google gaf meer dan 500 ingenieurs de opdracht om de code van het bedrijf door te nemen om er zeker van te zijn dat niets kwetsbaar was. Deze kwetsbaarheid is lang niet zo ernstig, omdat een aanvaller nog steeds een configuratiebestand van Log4j moet kunnen wijzigen. Als ze dat kunnen, is de kans groot dat je sowieso grotere problemen hebt.
Deze nieuwste release zal naar verwachting de definitieve permanente oplossing zijn voor de oorspronkelijke exploit, die veel bedrijven al zelf hebben opgelost. We hebben sinds de eerste echter ook een aantal andere updates gezien die mazen in de wet dichtten die later werden ontdekt. Met een beetje geluk zou dit eindelijk het einde moeten zijn van de Log4Shell-saga.