Apache Foundation กำลังเปิดตัวการอัปเดต Log4j ครั้งที่สี่ในหนึ่งเดือน ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นได้มากขึ้น
เมื่อต้นเดือนนี้ ช่องโหว่ด้านความปลอดภัยที่พบในแพ็คเกจการบันทึกที่ใช้ Java ยอดนิยม "Log4j" กลายเป็นปัญหาใหญ่สำหรับบริษัทและผลิตภัณฑ์เทคโนโลยีจำนวนนับไม่ถ้วน Minecraft, Steam, Apple iCloud และแอปพลิเคชันและบริการอื่นๆ ต้องเร่งอัปเดตด้วยเวอร์ชันที่มีแพตช์ แต่ปัญหาของ Log4j ยังไม่ได้รับการแก้ไขอย่างสมบูรณ์ ขณะนี้ยังมีการอัปเดตอีกรายการหนึ่งซึ่งมีจุดมุ่งหมายเพื่อแก้ไขปัญหาด้านความปลอดภัยอื่นที่อาจเกิดขึ้น
เปิดตัวมูลนิธิซอฟต์แวร์ Apache Log4j เวอร์ชัน 2.17.1 ในวันจันทร์ (ทาง คอมพิวเตอร์ส่งเสียงบี๊บ) ซึ่งเน้นไปที่ข้อบกพร่องด้านความปลอดภัยที่มีป้ายกำกับว่าเป็นหลัก CVE-2021-44832. ช่องโหว่ดังกล่าวอาจทำให้มีการเรียกใช้โค้ดจากระยะไกล (RCE) โดยใช้ JDBC Appender หากผู้โจมตีสามารถควบคุมไฟล์การกำหนดค่าการบันทึก Log4j ได้ ปัญหานี้ได้รับการจัดอันดับความรุนแรง "ปานกลาง" ซึ่งต่ำกว่าช่องโหว่ที่เริ่มต้นทั้งหมด -- CVE-2021-44228ซึ่งได้รับการจัดอันดับ "สำคัญ" Yaniv Nizry นักวิจัยด้านความปลอดภัยของ Checkmarx อ้างสิทธิ์ในการค้นพบช่องโหว่ และรายงานต่อมูลนิธิซอฟต์แวร์อาปาเช่
Apache เขียนไว้ในคำอธิบายช่องโหว่ว่า “Apache Log4j2 เวอร์ชัน 2.0-beta7 ถึง 2.17.0 (ไม่รวมโปรแกรมแก้ไขความปลอดภัยรุ่น 2.3.2 และ 2.12.4) มีความเสี่ยงที่จะถูกโจมตีจากระยะไกล (RCE) ซึ่งผู้โจมตีที่มี การอนุญาตให้แก้ไขไฟล์การกำหนดค่าการบันทึกสามารถสร้างการกำหนดค่าที่เป็นอันตรายโดยใช้ JDBC Appender พร้อมแหล่งข้อมูลที่อ้างอิงถึง JNDI URI ซึ่งสามารถดำเนินการจากระยะไกลได้ รหัส. ปัญหานี้ได้รับการแก้ไขโดยการจำกัดชื่อแหล่งข้อมูล JNDI ไว้ที่โปรโตคอล java ใน Log4j2 เวอร์ชัน 2.17.1, 2.12.4 และ 2.3.2"
การใช้ประโยชน์จาก Log4j ดั้งเดิมซึ่งรู้จักกันในชื่อ "Log4Shell" อนุญาตให้เรียกใช้โค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์หรือแอปพลิเคชันจำนวนมากที่ใช้ Log4j สำหรับการบันทึกข้อมูล Matthew Prince ซีอีโอของ Cloudflare กล่าวว่าช่องโหว่นี้กำลังถูกใช้อยู่ อย่างเร็วที่สุดในวันที่ 1 ธันวาคมกว่าหนึ่งสัปดาห์ก่อนที่จะมีการระบุตัวตนต่อสาธารณะ และ ตาม เดอะวอชิงตันโพสต์, Google มอบหมายให้วิศวกรกว่า 500 คนกรอกโค้ดของบริษัทเพื่อให้แน่ใจว่าไม่มีสิ่งใดมีความเสี่ยง ช่องโหว่นี้ไม่มีความรุนแรงเท่านี้ เนื่องจากผู้โจมตียังคงจำเป็นต้องแก้ไขไฟล์การกำหนดค่าที่เป็นของ Log4j ได้ หากพวกเขาสามารถทำเช่นนั้นได้ ก็มีแนวโน้มว่าคุณจะมีปัญหาใหญ่อยู่ในมืออยู่แล้ว
รุ่นล่าสุดนี้คาดว่าจะเป็นการแก้ไขถาวรครั้งสุดท้ายสำหรับช่องโหว่ดั้งเดิม ซึ่งหลายบริษัทได้แก้ไขด้วยตนเองแล้ว อย่างไรก็ตาม เรายังได้เห็นการอัปเดตอื่นๆ อีกหลายรายการนับตั้งแต่การอัปเดตครั้งแรกเพื่อปิดช่องโหว่ที่ถูกค้นพบในภายหลัง หากโชคดี นี่ควรจะเป็นจุดสิ้นสุดของตำนาน Log4Shell ในที่สุด