Fundația Apache lansează a patra actualizare Log4j într-o lună, care remediază mai multe vulnerabilități potențiale de securitate.
Mai devreme luna asta, o vulnerabilitate de securitate descoperită în popularul pachet de jurnalizare bazat pe Java „Log4j” a devenit o problemă masivă pentru nenumărate companii și produse tehnologice. Minecraft, Steam, Apple iCloud și alte aplicații și servicii au trebuit să grăbească actualizările cu o versiune corecţionată, dar problemele Log4j nu au fost încă rezolvate complet. Acum se lansează încă o actualizare, care are ca scop să remedieze o altă problemă potențială de securitate.
Apache Software Foundation a lansat versiunea 2.17.1 a Log4j pe luni (prin intermediul Bleeping Computer), care abordează în primul rând un defect de securitate etichetat ca CVE-2021-44832. Vulnerabilitatea ar putea permite executarea codului de la distanță (RCE) folosind JDBC Appender, dacă atacatorul este capabil să controleze fișierul de configurare a jurnalelor Log4j. Problema a primit o evaluare de severitate „Moderată”, mai mică decât vulnerabilitatea care a început totul --
CVE-2021-44228, care este evaluat drept „Critic”. Yaniv Nizry, cercetător de securitate Checkmarx a revendicat meritul pentru descoperirea vulnerabilității și raportând-o la Apache Software Foundation.Apache a scris în descrierea vulnerabilității, „Versiunile Apache Log4j2 2.0-beta7 până la 2.17.0 (cu excepția versiunilor de corecție de securitate 2.3.2 și 2.12.4) sunt vulnerabile la un atac de execuție de cod la distanță (RCE) în care un atacator cu permisiunea de a modifica fișierul de configurare de înregistrare poate construi o configurație rău intenționată folosind un JDBC Appender cu o sursă de date care face referire la un URI JNDI care poate executa la distanță cod. Această problemă este remediată prin limitarea numelor surselor de date JNDI la protocolul java în versiunile Log4j2 2.17.1, 2.12.4 și 2.3.2.”
Exploita-ul original Log4j, cunoscut și sub numele de „Log4Shell”, a permis executarea de coduri rău intenționate pe multe servere sau aplicații care foloseau Log4j pentru înregistrarea datelor. CEO-ul Cloudflare, Matthew Prince, a spus că exploit-ul a fost folosit încă de la 1 decembrie, cu peste o săptămână înainte de a fi identificat public și conform The Washington Post, Google a însărcinat peste 500 de ingineri să parcurgă codul companiei pentru a se asigura că nimic nu este vulnerabil. Această vulnerabilitate nu este nici pe departe la fel de gravă, deoarece un atacator trebuie încă să poată modifica un fișier de configurare aparținând Log4j. Dacă pot face asta, probabil că oricum ai probleme mai mari la mâini.
Se așteaptă că această ultimă versiune va fi soluția finală permanentă pentru exploit-ul original, pe care multe companii l-au remediat deja singure. Cu toate acestea, am văzut și o serie de alte actualizări de la cea inițială pentru a închide lacunele care au fost descoperite ulterior. Cu ceva noroc, acesta ar trebui să fie în sfârșit sfârșitul sagai Log4Shell.