Apache Software Foundation ha rilasciato un aggiornamento di sicurezza per log4j e sollecita gli amministratori ad aggiornare.
Una nuova vulnerabilità nel software consente l’esecuzione di codice arbitrario. La vulnerabilità è meno grave rispetto alle vulnerabilità precedenti.
Per sfruttare la vulnerabilità, un utente malintenzionato deve essere in grado di modificare il file di configurazione della registrazione.
Successivamente, lo scopritore, il ricercatore di sicurezza Yaniv Nizry, afferma che la vulnerabilità è più complessa di quella Log4Shell originale.
Se l’autore dell’attacco ha modificato il file di configurazione della registrazione, può quindi creare una configurazione che utilizza JDBCAppender con un riferimento a un Java Naming and Directory Interface URI, che può eseguire codice arbitrario e quindi eseguire un exploit.
In questo modo, l’aggressore può accedere al server della vittima tramite una shell remota.
La vulnerabilità è designata CVE-2021-44832 e ha un punteggio di di 6,6 su una scala da 1 a 10. Poiché l’attaccante deve già avere accesso al file di configurazione della registrazione, la vulnerabilità è meno facile da sfruttare in pratica rispetto alla vulnerabilità grave nello strumento log4j che è venuto alla luce all’inizio di dicembre.
È anche meno grave della vulnerabilità scoperta nell’aggiornamento di sicurezza che è apparso su di esso. Nelle ultime settimane sono state scoperte quattro vulnerabilità in log4j.
In un post sul blog, Nizry spiega come un utente malintenzionato può utilizzare l’exploit. Dice che da Log4Shell, il software di Apache è stato sotto una lente d’ingrandimento dai ricercatori di sicurezza, quindi non sorprende che scoprano più vulnerabilità in log4j.
Sottolinea che nella versione 2.17.0 i principali metodi di attacco sono bloccati, ma è ancora possibile eseguire l’esecuzione di codice arbitrario utilizzando la configurazione predefinita di log4j.
Nizry ha segnalato la vulnerabilità ad Apache lunedì 27 dicembre e ha ricevuto una risposta lo stesso giorno. Il giorno dopo, Apache ha rilasciato un aggiornamento di sicurezza, versione 2.17.1 del software, che ha lo scopo di disabilitare la vulnerabilità.
Apache richiede agli utenti di eseguire l’aggiornamento a log4j 2.3.2 per Java 6, log4j 2.12.4 per Java 7 o versione 2.17.1 per Java 8 e successive. La vulnerabilità è presente in tutte le versioni del software fino alla versione 2.17.0 inclusa.
Giornalista digitale appassionata di innovazione, scienza e cultura streaming. Laureata in comunicazione scientifica, scrive articoli chiari e approfonditi su tecnologie emergenti, servizi digitali e curiosità dal mondo della ricerca. Con uno stile diretto e accessibile, cerco di rendere comprensibili anche i temi più complessi, unendo precisione giornalistica e passione per il futuro. Su questo sito esplora ogni giorno il punto d’incontro tra scienza, tecnologia e intrattenimento.
