Log4j 2.17.1 je teraz k dispozícii s ďalšími opravami zraniteľnosti Log4Shell

Nadácia Apache vydáva za mesiac štvrtú aktualizáciu Log4j, ktorá opravuje ďalšie potenciálne bezpečnostné chyby.

Začiatkom tohto mesiaca bezpečnostná chyba objavená v populárnom protokolovom balíku založenom na jazyku Java "Log4j" sa stal obrovským problémom pre nespočetné množstvo spoločností a technologických produktov. Minecraft, Steam, Apple iCloud a ďalšie aplikácie a služby museli uponáhľať aktualizácie s opravenou verziou, no problémy Log4j ešte nie sú úplne vyriešené. Teraz prichádza ďalšia aktualizácia, ktorej cieľom je vyriešiť ďalší potenciálny bezpečnostný problém.

Vydaná nadácia Apache Software Foundation verzia 2.17.1 Log4j v pondelok (cez Pípajúci počítač), ktorý primárne rieši bezpečnostnú chybu označenú ako CVE-2021-44832. Zraniteľnosť by mohla potenciálne umožniť vzdialené spustenie kódu (RCE) pomocou JDBC Appender, ak je útočník schopný ovládať konfiguračný súbor protokolovania Log4j. Problému bolo udelené hodnotenie závažnosti „stredné“, nižšie ako zraniteľnosť, ktorá to všetko začala --

CVE-2021-44228, ktorá je hodnotená ako „kritická“. Výskumník bezpečnosti Checkmarx Yaniv Nizry pripisoval uznanie za objavenie zraniteľnosti a nahlásiť to Apache Software Foundation.

Apache napísal v popise zraniteľnosti, "Apache Log4j2 verzie 2.0-beta7 až 2.17.0 (okrem bezpečnostných opráv vydaní 2.3.2 a 2.12.4) sú zraniteľné voči útoku vzdialeného spustenia kódu (RCE), kde útočník s povolenie na úpravu konfiguračného súboru protokolovania môže vytvoriť škodlivú konfiguráciu pomocou JDBC Appender so zdrojom údajov odkazujúcim na JNDI URI, ktorý môže vykonávať vzdialené kód. Tento problém je vyriešený obmedzením názvov zdrojov údajov JNDI na protokol java vo verziách Log4j2 2.17.1, 2.12.4 a 2.3.2."

Pôvodný exploit Log4j, ktorý je tiež známy ako „Log4Shell“, umožnil spustenie škodlivého kódu na mnohých serveroch alebo aplikáciách, ktoré používali Log4j na zaznamenávanie údajov. Generálny riaditeľ Cloudflare Matthew Prince uviedol, že exploit bol využívaný už 1. decembra, viac ako týždeň predtým, ako bola verejne identifikovaná, a podľa The Washington Post, Google poveril viac ako 500 inžinierov, aby preliali kód spoločnosti, aby zabezpečili, že nič nebude zraniteľné. Táto zraniteľnosť nie je ani zďaleka taká závažná, pretože útočník musí byť stále schopný upraviť konfiguračný súbor patriaci Log4j. Ak to dokážu, je pravdepodobné, že aj tak máte väčšie problémy na rukách.

Očakáva sa, že toto najnovšie vydanie bude poslednou trvalou opravou pôvodného exploitu, ktorý už mnohé spoločnosti opravili svojpomocne. Od prvej aktualizácie sme však videli aj množstvo ďalších aktualizácií, ktoré mali odstrániť medzery, ktoré boli neskôr objavené. Pri troche šťastia by to mal byť konečne koniec ságy Log4Shell.