Fundacja Apache udostępnia w ciągu miesiąca czwartą aktualizację Log4j, która naprawia więcej potencjalnych luk w zabezpieczeniach.
Wcześniej w tym miesiącu, luka w zabezpieczeniach wykryta w popularnym pakiecie rejestrującym opartym na Javie „Log4j” stało się ogromnym problemem dla niezliczonych firm i produktów technologicznych. Minecraft, Steam, Apple iCloud oraz inne aplikacje i usługi musiały przyspieszyć aktualizacje dzięki poprawionej wersji, ale problemy Log4j nie zostały jeszcze całkowicie naprawione. Teraz wprowadzana jest kolejna aktualizacja, której celem jest naprawienie kolejnego potencjalnego problemu związanego z bezpieczeństwem.
Wydano Apache Software Foundation wersja 2.17.1 Log4j w poniedziałek (przez Piszczący komputer), który przede wszystkim naprawia lukę w zabezpieczeniach oznaczoną jako CVE-2021-44832. Luka może potencjalnie pozwolić na zdalne wykonanie kodu (RCE) przy użyciu programu dołączającego JDBC, jeśli osoba atakująca będzie w stanie kontrolować plik konfiguracyjny rejestrowania Log4j. Problemowi nadano stopień ważności „Umiarkowany”, niższy niż luka, od której wszystko się zaczęło —
CVE-2021-44228, który ma ocenę „Krytyczny”. Badacz bezpieczeństwa Checkmarx Yaniv Nizry przyznał się do odkrycia luki i zgłoszenie tego do Apache Software Foundation.W opisie podatności Apache napisał: „Apache Log4j2 w wersjach od 2.0-beta7 do 2.17.0 (z wyjątkiem wersji poprawek zabezpieczeń 2.3.2 i 2.12.4) jest podatny na atak polegający na zdalnym wykonaniu kodu (RCE), w którym osoba atakująca pozwolenie na modyfikację pliku konfiguracyjnego rejestrowania może utworzyć złośliwą konfigurację przy użyciu modułu dołączającego JDBC ze źródłem danych odwołującym się do identyfikatora URI JNDI, który może wykonać zdalnie kod. Ten problem rozwiązano poprzez ograniczenie nazw źródeł danych JNDI do protokołu Java w wersjach Log4j2 2.17.1, 2.12.4 i 2.3.2.”
Oryginalny exploit Log4j, znany również jako „Log4Shell”, umożliwiał wykonanie złośliwego kodu na wielu serwerach lub aplikacjach korzystających z Log4j do rejestrowania danych. Dyrektor generalny Cloudflare, Matthew Prince, powiedział, że exploit był wykorzystywany już 1 grudnia, ponad tydzień przed jego publiczną identyfikacją, oraz według „Washington Post”., Google zleciło ponad 500 inżynierom przejrzenie kodu firmy, aby upewnić się, że nic nie jest podatne na ataki. Luka ta nie jest aż tak poważna, ponieważ osoba atakująca nadal musi mieć możliwość zmodyfikowania pliku konfiguracyjnego należącego do Log4j. Jeśli im się to uda, prawdopodobnie i tak masz większe problemy na rękach.
Oczekuje się, że najnowsza wersja będzie ostateczną, trwałą poprawką oryginalnego exploita, który wiele firm naprawiło już samodzielnie. Jednak od czasu pierwszej zaobserwowaliśmy także wiele innych aktualizacji, które miały na celu zamknięcie luk, które zostały później odkryte. Przy odrobinie szczęścia powinien to być wreszcie koniec sagi Log4Shell.