Patch-ul de urgență pentru vulnerabilitatea infamă din biblioteca Java Log4j nu este sigură. Apache Software Foundation lansează o nouă versiune pentru a remedia vulnerabilitatea o dată pentru totdeauna.
O vulnerabilitate dintr-o bibliotecă extrem de populară pentru Java zguduie peisajul IT global. Se estimează că biblioteca există în majoritatea mediilor corporative.
Log4j este folosit în principal pentru înregistrare. Evenimentele din aplicații pot fi înregistrate cu note. Gândiți-vă la o imprimare a detaliilor de conectare după o încercare de conectare. Sau, în cazul unei aplicații web în Java, numele browserului la care încearcă să se conecteze un utilizator.
Aceste din urmă exemple sunt comune. În ambele cazuri, un utilizator extern influențează jurnalul pe care Log4j îl iese. Este posibil să abuzezi de această influență. Jurnalele oricărei versiuni Log4j între 13 septembrie 2013 și 5 decembrie 2021 pot instrui aplicațiilor Java să ruleze codul de pe un server la distanță pe un dispozitiv local.
Din 2013, Log4j procesează un API: JNDI sau Java Naming and Directory Interface. Adăugarea JNDI permite unei aplicații Java să ruleze cod de pe un server la distanță pe un dispozitiv local. Programatorii instruiesc adăugând o singură linie de detalii despre serverul de la distanță într-o aplicație.
Problema este că nu numai programatorii sunt capabili să adauge regula la aplicații. Să presupunem că Log4j înregistrează numele de utilizator ale încercărilor de conectare. Când cineva introduce linia menționată mai sus în câmpul nume de utilizator, Log4j rulează linia și aplicația Java interpretează o comandă pentru a rula codul pe serverul specificat. Același lucru este valabil și pentru cazurile în care Log4j înregistrează o solicitare HTTPS. Dacă schimbați numele unui browser în linie, Log4j rulează linia, indicându-i indirect să ruleze codul după cum doriți.
Plasturele de urgență poate fi, de asemenea, nesigur
Pe 9 decembrie, vulnerabilitatea a ieșit la iveală pe scară largă. Apache Software Foundation, dezvoltatorul Log4j, a lansat un patch de urgență (2.15) pentru a remedia vulnerabilitatea. De atunci, a fost o prioritate de top pentru furnizorii de software să proceseze versiunea 2.15 și să ofere un patch pentru organizații.
Cu toate acestea, organizația de securitate LunaSec afirmă că patch-ul nu este complet etanș. Rămâne posibil să ajustați o setare și să executați comenzile JNDI înregistrate.
Vă rugăm să rețineți: setarea relevantă trebuie ajustată manual, astfel încât variantele nemodificate de 2.15 să fie într-adevăr sigure. Cu toate acestea, Luna Sec recomandă furnizorilor și organizațiilor să se actualizeze la Log4j 2.16. 2.16 a fost publicat de Apache Software Foundation ca răspuns la LunaSec. Noua versiune elimină complet setarea vulnerabilă, făcând imposibilă crearea condițiilor pentru abuz.