Log4j 2.17.1 тепер доступний з більшою кількістю виправлень уразливості Log4Shell

Apache Foundation випускає четверте оновлення Log4j за місяць, яке виправляє більше потенційних уразливостей безпеки.

На початку цього місяця вразливість безпеки, виявлена ​​в популярному пакеті журналювання на основі Java "Log4j" стала великою проблемою для незліченних компаній і технологічних продуктів. Minecraft, Steam, Apple iCloud та інші програми та служби змушені були швидко оновлюватися з виправленою версією, але проблеми Log4j ще не повністю виправлені. Зараз виходить ще одне оновлення, яке має на меті вирішити ще одну потенційну проблему безпеки.

Випущено Apache Software Foundation версія 2.17.1 Log4j в понеділок (через Блеючий комп'ютер), яка в основному усуває недолік безпеки, позначений як CVE-2021-44832. Уразливість може призвести до віддаленого виконання коду (RCE) за допомогою JDBC Appender, якщо зловмисник зможе контролювати файл конфігурації журналювання Log4j. Проблемі присвоєно «помірний» рівень серйозності, нижчий, ніж уразливість, з якої все почалося -- CVE-2021-44228

, якому присвоєно оцінку «Критичний». Дослідник безпеки Checkmarx Янів Низрий вимагав кредиту за виявлення вразливості і повідомити про це Apache Software Foundation.

Apache написав в описі вразливості, «Apache Log4j2 версії 2.0-beta7 до 2.17.0 (за винятком випусків виправлень безпеки 2.3.2 і 2.12.4) вразливі до атаки віддаленого виконання коду (RCE), коли зловмисник із дозвіл на зміну файлу конфігурації журналу може створити зловмисну ​​конфігурацію за допомогою JDBC Appender із джерелом даних, що посилається на JNDI URI, який може виконувати віддалений код. Цю проблему вирішено шляхом обмеження імен джерел даних JNDI протоколом Java у версіях Log4j2 2.17.1, 2.12.4 і 2.3.2."

Оригінальний експлойт Log4j, також відомий як «Log4Shell», дозволяв виконувати шкідливий код на багатьох серверах або програмах, які використовували Log4j для реєстрації даних. Генеральний директор Cloudflare Метью Прінс заявив, що використовувався експлойт вже 1 грудня, понад тиждень до того, як це було публічно ідентифіковано, і відповідно до The Washington Post, Google доручив понад 500 інженерам пропрацювати код компанії, щоб переконатися, що немає нічого вразливого. Ця вразливість далеко не така серйозна, оскільки зловмиснику все одно потрібно мати можливість змінити файл конфігурації, що належить Log4j. Якщо вони можуть це зробити, цілком імовірно, що у вас все одно є більші проблеми.

Очікується, що цей останній випуск стане остаточним постійним виправленням оригінального експлойту, який багато компаній уже виправили самостійно. Однак ми також побачили низку інших оновлень після першого, щоб закрити лазівки, які були виявлені пізніше. Якщо пощастить, це нарешті стане кінцем саги про Log4Shell.