U patch d'emergenza per l'infame vulnerabilità in a biblioteca Java Log4j ùn hè micca infallibile. L'Apache Software Foundation libera una nova versione per riparà a vulnerabilità una volta per tutte.
Una vulnerabilità in una biblioteca assai populari per Java scuzzulate u panorama IT globale. Hè stimatu chì a biblioteca esiste in a maiò parte di l'ambienti corporativi.
Log4j hè principalmente utilizatu per logging. Eventi in l'applicazioni ponu esse registrati cù note. Pensate à una stampata di i dati di login dopu un tentativu di login. O, in u casu di una applicazione web in Java, u nome di u navigatore chì un utilizatore prova di cunnette.
L'ultimi esempi sò cumuni. In i dui casi, un utilizatore esternu influenza u logu chì Log4j produce. Hè pussibule abusà di quella influenza. I logs di qualsiasi versione di Log4j trà u 13 di settembre di u 2013 è u 5 di dicembre di u 2021 sò capaci di urdinà à l'applicazioni Java per eseguisce u codice da un servitore remoto in un dispositivu locale.
Dapoi u 2013, Log4j hà trattatu un API: JNDI, o Java Naming and Directory Interface. L'aghjunzione di JNDI permette à una applicazione Java di eseguisce codice da un servitore remoto in un dispositivu locale. I programatori urdinanu aghjunghjendu una sola linea di dettagli nantu à u servitore remoto in una applicazione.
U prublema hè chì micca solu i programatori sò capaci di aghjunghje a regula à l'applicazioni. Supponete chì Log4j registra i nomi d'utilizatori di i tentativi di login. Quandu qualchissia entre in a linea sopra citata in u campu di u nome d'utilizatore, Log4j eseguisce a linea è l'applicazione Java interpreta un cumandamentu per eseguisce u codice in u servitore specificatu. U stessu passa per i casi induve Log4j registra una dumanda HTTPS. Se cambiate u nome di u navigatore à a linea, Log4j eseguisce a linea, indittendu indirettamente à eseguisce u codice cumu vulete.
U patch d'emergenza pò ancu esse inseguru
U 9 dicembre, a vulnerabilità hè ghjunta à a luce à grande scala. L'Apache Software Foundation, sviluppatore di Log4j, hà liberatu un patch d'emergenza (2.15) per riparà a vulnerabilità. Da tandu, hè stata una priorità per i venditori di software per processà a versione 2.15 è furnisce un patch per l'urganisazioni.
In ogni casu, l'urganizazione di sicurità LunaSec dichjara chì u patch ùn hè micca cumpletamente impermeabile. Resta pussibule di aghjustà un paràmetru è di avè eseguitu cumandamenti JNDI loggati.
Per piacè nutate: u paràmetru pertinente deve esse aghjustatu manualmente, in modu chì e varianti micca modificate di 2.15 sò veramente sicuri. Tuttavia, Luna Sec ricumanda chì i fornitori è l'urganisazioni aghjurnà à Log4j 2.16. 2.16 hè statu publicatu da Apache Software Foundation in risposta à LunaSec. A nova versione sguassate cumplettamente u paràmetru vulnerabile, facendu impussibile di creà e cundizioni per l'abusu.