A Log4j Java-könyvtár hírhedt sebezhetőségének hatása elhúzódik. Bár a legnagyobb problémát a 2.16-os sürgős javítással sikerült megoldani, úgy tűnik, ez a verzió is érzékeny a visszaélésekre. A biztonsági kutatók bejáratot találtak a szolgáltatásmegtagadási (DoS) támadásokhoz. A bejegyzés bezárásához megjelent a Log4j 2.17.
Az Apache, a Java könyvtár fejlesztője azt tanácsolja a szervezeteknek, hogy alkalmazzák a vészjavítást. Ez a tanács harmadszor érvényes, mióta a könyvtárat sebezhetőnek találták.
Másfél hete az Alibaba biztonsági kutatói cloud biztonsági csapat feltárt egy módszert a Log4j alkalmazásokkal való visszaélésre. A Log4j-t alkalmazásokban használják események naplózására. Kiderült, hogy a könyvtárral az alkalmazásokhoz kívülről is hozzá lehet férni a rosszindulatú programok végrehajtására vonatkozó utasításokkal. A visszaélés alig több, mint egy pillanat. Ha ehhez hozzáadja a könyvtár becsült előfordulását a legtöbb vállalati környezetben, akkor megértheti a globális IT-környezetet fenyegető katasztrófa mértékét.
Szoftverfejlesztők, mint például a Fortinet, a Cisco, az IBM és több tucat másik cég használják a könyvtárat szoftvereikben. Fejlesztőik túlóráztak a hétvégén, december 11-én, hogy feldolgozzák a sérülékenység első sürgősségi javítását, és eljuttassák azt a felhasználói szervezetekhez. Pontosan ugyanezt a sodródást várták ezeken a szervezeteken belül az IT csapatoktól is. Világszerte több százezer támadási kísérlet történt. Mindenkinek a lehető leghamarabb át kellett állnia a 2.15-re – mígnem a 2.15-öt is sebezhetőnek találták.
A könyvtár bizonyos konfigurációi a 2.15-ös verzióban is lehetségesek maradtak. Ezen konfigurációk használata fenntartotta a biztonsági rést. A 2.16-os verzió lehetetlenné tette a konfigurációkat, garantálva az új javítást. Gyakran az amúgy is túlterhelt informatikai csapatok bánatára. Viszont mindig lehet rosszabb, mert a 2.16-nak is van valami baja.
Vissza a kezdéshez
A probléma iránti masszív globális figyelem masszív világméretű vizsgálatot indított el. Úgy tűnik, az Apache, a könyvtár fejlesztője két napig nem kap levegőt anélkül, hogy egy biztonsági cég ne mutatott volna rá egy új, sürgető problémára.
Röviden, kiderül, hogy a log4j több tucat verzióját – köztük a 2.16-ot is – le lehet futtatni egy sorral (karakterlánccal), hogy elindítsunk egy örök hurkot, amely összeomlik az alkalmazással. A feltételek, amelyeknek egy környezetnek meg kell felelnie ahhoz, hogy visszaélhessen vele, széleskörűek. Olyan kiterjedt, hogy a probléma gyakorlati komolysága vitatott. A tapasz hivatalosan ajánlott, de nem mindenki győzött meg róla.
Ismétlem, a Log4j nem minden példánya sebezhető, hanem csak azok az esetek, amikor a könyvtár egyéni beállításokkal fut. A potenciális támadónak részletes betekintésre van szüksége a Log4j működésébe is. Ellentéte a kezdeti, könnyen elérhető sebezhetőségnek.