A Apache Foundation está lançando a quarta atualização do Log4j em um mês, que corrige mais vulnerabilidades de segurança potenciais.
No início deste mês, uma vulnerabilidade de segurança descoberta no popular pacote de log baseado em Java "Log4j" tornou-se um grande problema para inúmeras empresas e produtos de tecnologia. Minecraft, Steam, Apple iCloud e outros aplicativos e serviços tiveram que apressar as atualizações com uma versão corrigida, mas os problemas do Log4j ainda não foram completamente corrigidos. Agora, mais uma atualização está sendo lançada, com o objetivo de corrigir outro possível problema de segurança.
A Apache Software Foundation lançou versão 2.17.1 do Log4j na segunda-feira (através da Computador bipando), que aborda principalmente uma falha de segurança rotulada como CVE-2021-44832. A vulnerabilidade poderia permitir a execução remota de código (RCE) usando o JDBC Appender se o invasor conseguir controlar o arquivo de configuração de log do Log4j. O problema recebeu uma classificação de gravidade “Moderada”, inferior à vulnerabilidade que deu início a tudo –
Apache escreveu na descrição da vulnerabilidade, "As versões 2.0-beta7 a 2.17.0 do Apache Log4j2 (excluindo as versões de correção de segurança 2.3.2 e 2.12.4) são vulneráveis a um ataque de execução remota de código (RCE) em que um invasor com permissão para modificar o arquivo de configuração de log pode construir uma configuração maliciosa usando um JDBC Appender com uma fonte de dados referenciando um URI JNDI que pode executar remotamente código. Esse problema foi corrigido limitando os nomes das fontes de dados JNDI ao protocolo Java nas versões 2.17.1, 2.12.4 e 2.3.2 do Log4j2."
A exploração original do Log4j, também conhecida como “Log4Shell”, permitiu que códigos maliciosos fossem executados em muitos servidores ou aplicativos que usavam o Log4j para registro de dados. O CEO da Cloudflare, Matthew Prince, disse que a exploração estava sendo usada já em 1º de dezembro, mais de uma semana antes de ser identificado publicamente, e de acordo com O Washington Post, O Google encarregou mais de 500 engenheiros de analisar o código da empresa para garantir que nada estivesse vulnerável. Esta vulnerabilidade não é tão grave, pois um invasor ainda precisa modificar um arquivo de configuração pertencente ao Log4j. Se eles puderem fazer isso, é provável que você tenha problemas maiores em suas mãos.
Espera-se que esta última versão seja a correção final permanente para a exploração original, que muitas empresas já corrigiram por conta própria. No entanto, também vimos uma série de outras atualizações desde a inicial para fechar lacunas que foram descobertas posteriormente. Com alguma sorte, este deve finalmente ser o fim da saga Log4Shell.