Фондација Апацхе уводи четврто ажурирање Лог4ј за месец дана, које поправља више потенцијалних безбедносних пропуста.
Раније овог месеца, безбедносна рањивост откривена у популарном Јава-базираном пакету за евидентирање „Лог4ј“ постао огроман проблем за безброј компанија и технолошких производа. Минецрафт, Стеам, Аппле иЦлоуд и друге апликације и услуге морали су да пожурују са ажурирањима са закрпљеном верзијом, али проблеми Лог4ј-а још увек нису у потпуности решени. Сада се појављује још једно ажурирање које има за циљ да реши још један потенцијални безбедносни проблем.
Објављена је Апацхе Софтваре Фоундатион верзија 2.17.1 Лог4ј у понедељак (преко Блеепинг Цомпутер), који се првенствено бави безбедносним пропустом означеним као ЦВЕ-2021-44832. Рањивост би потенцијално могла да омогући даљинско извршавање кода (РЦЕ) коришћењем ЈДБЦ Аппендер-а ако нападач може да контролише конфигурациону датотеку евиденције Лог4ј. Проблему је додељена оцена озбиљности „умерена“, нижа од рањивости која је све започела --
ЦВЕ-2021-44228, који је оцењен као „критичан“. Цхецкмарк истраживач безбедности Јанив Низри потраживао заслуге за откривање рањивости и то пријавити Апацхе Софтваре Фоундатион.Апацхе је написао у опису рањивости, „Апацхе Лог4ј2 верзије 2.0-бета7 до 2.17.0 (искључујући издања безбедносне исправке 2.3.2 и 2.12.4) су рањиве на напад даљинског извршавања кода (РЦЕ) где нападач са дозвола за измену конфигурационе датотеке евиденције може да направи злонамерну конфигурацију користећи ЈДБЦ Аппендер са извором података који упућује на ЈНДИ УРИ који може да изврши даљински код. Овај проблем је решен ограничавањем имена ЈНДИ извора података на јава протокол у Лог4ј2 верзијама 2.17.1, 2.12.4 и 2.3.2."
Оригинални Лог4ј експлоат, који је такође познат као "Лог4Схелл", омогућио је извршавање злонамерног кода на многим серверима или апликацијама које су користиле Лог4ј за евидентирање података. Извршни директор Цлоудфлареа Метју Принс рекао је да се експлоатација користи већ 1. децембра, више од недељу дана пре него што је јавно идентификован, и према Тхе Васхингтон Пост, Гоогле је задужио преко 500 инжењера да проуче код компаније како би се уверио да ништа није рањиво. Ова рањивост није ни приближно тако озбиљна, јер нападач и даље мора да буде у могућности да измени конфигурациону датотеку која припада Лог4ј. Ако то могу да ураде, вероватно је да ионако имате веће проблеме.
Очекује се да ће ово најновије издање бити коначно трајно решење за оригинални експлоат, који су многе компаније већ саме поправиле. Међутим, видели смо и бројна друга ажурирања од првог да би се затвориле рупе које су касније откривене. Уз мало среће, ово би коначно требало да буде крај саге Лог4Схелл.