Apache Foundation uvaja četrto posodobitev Log4j v enem mesecu, ki odpravlja več potencialnih varnostnih ranljivosti.
V začetku tega meseca, varnostna ranljivost, odkrita v priljubljenem paketu za beleženje, ki temelji na Javi, "Log4j" postala velika težava za nešteta podjetja in tehnološke izdelke. Minecraft, Steam, Apple iCloud in druge aplikacije in storitve so morale hiteti s posodobitvami s popravljeno različico, vendar težave Log4j še niso bile popolnoma odpravljene. Zdaj se uvaja še ena posodobitev, katere namen je odpraviti še eno morebitno varnostno težavo.
Apache Software Foundation je izdala različica 2.17.1 Log4j v ponedeljek (prek Bleeping Computer), ki obravnava predvsem varnostno napako, označeno kot CVE-2021-44832. Ranljivost bi lahko omogočila oddaljeno izvajanje kode (RCE) z uporabo JDBC Appender, če lahko napadalec nadzira konfiguracijsko datoteko za beleženje Log4j. Težavi je bila dodeljena ocena resnosti "zmerno", nižja od ranljivosti, ki je vse skupaj začela -- CVE-2021-44228
, ki ima oceno "Kritično". Varnostni raziskovalec Checkmarx Yaniv Nizry zahteval zasluge za odkritje ranljivosti in poročanje Apache Software Foundation.Apache je v opisu ranljivosti zapisal, "Apache Log4j2 različice 2.0-beta7 do 2.17.0 (razen izdaj varnostnih popravkov 2.3.2 in 2.12.4) so ranljive za napad z izvajanjem oddaljene kode (RCE), kjer napadalec z dovoljenje za spreminjanje konfiguracijske datoteke beleženja lahko ustvari zlonamerno konfiguracijo z uporabo JDBC Appender z virom podatkov, ki se sklicuje na JNDI URI, ki lahko izvede oddaljeno Koda. Ta težava je odpravljena z omejitvijo imen virov podatkov JNDI na protokol java v različicah Log4j2 2.17.1, 2.12.4 in 2.3.2."
Prvotno izkoriščanje Log4j, ki je znano tudi kot "Log4Shell", je omogočilo izvajanje zlonamerne kode na številnih strežnikih ali aplikacijah, ki so uporabljale Log4j za beleženje podatkov. CEO Cloudflare Matthew Prince je dejal, da je bil izkoriščen že 1. decembra, več kot teden dni, preden je bil javno identificiran, in po navedbah The Washington Post, Google je zadolžil več kot 500 inženirjev, da pregledajo kodo podjetja, da zagotovijo, da ni nič ranljivega. Ta ranljivost ni niti približno tako resna, saj mora napadalec še vedno imeti možnost spreminjanja konfiguracijske datoteke, ki pripada Log4j. Če jim to uspe, je verjetno, da imate vseeno večje težave.
Pričakuje se, da bo ta zadnja izdaja končni trajni popravek za prvotno izkoriščanje, ki so ga mnoga podjetja že sama popravila. Vendar pa smo od prve videli tudi številne druge posodobitve za zapiranje vrzeli, ki so bile pozneje odkrite. Z malo sreče bi to končno moral biti konec sage Log4Shell.