Vulnerabilità Log4Shell: Apache rilascia la patch

Vulnerabilità Log4Shell: Apache rilascia la patch

Apache Software Foundation ha rilasciato la versione 2.15.0 della libreria Log4j che risolve la vulnerabilità Log4Shell scoperta tre giorni fa.
Apache Software Foundation ha rilasciato la versione 2.15.0 della libreria Log4j che risolve la vulnerabilità Log4Shell scoperta tre giorni fa.

Apache Software Foundation ha rilasciato la patch per la vulnerabilità zero-day scoperta tre giorni in Log4j, una libreria Java che viene utilizzata da migliaia di aziende, tra cui Apple, Amazon, Twitter, Cloudflare e Tesla. L’exploit che sfrutta il bug Log4Shell, identificato con CVE-2021-44228, è già in circolazione, quindi è necessario installare la nuova versione 2.15.0 nel minor tempo possibile.

Log4Shell: grande pericolo per Internet

Il bug Log4Shell è presente in tutte le versioni da 2.0-beta9 a 2.14.1. Log4j è una libreria Java utilizzata per analizzare i log di accesso ai web server e alle applicazioni. Dopo aver individuato i server vulnerabili, i malintenzionati possono prendere il controllo dei messaggi di log ed eseguire codice arbitrario. Un proof-of-concept è stato pubblicato su GitHub.

Il problema di sicurezza è piuttosto serio, in quanto gli eventuali attacchi non richiedono particolari competenze tecniche. L’impatto su Internet è enorme. La libreria è infatti presente in quasi tutti i prodotti enterprise della Apache Software Foundation, tra cui Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka e Apache Dubbo. Pertanto sono vulnerabili i server di numerose big tech, tra cui Apple, Amazon, Twitter, Cloudflare e Steam, oltre al famoso gioco Minecraft.

Per ridurre i rischi al minimo è necessario impostare a true la proprietà log4j2.formatMsgNoLookups o la variabile di ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS per le versioni di Log4j uguale o superiore alla 2.10. Per le versioni precedenti deve essere eliminata la classe JndiLookup dal classpath con il comando zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class. Ma la soluzione migliore è scaricare e installare Logj4 2.15.0.

Fonte: Apache
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 12 dic 2021
Link copiato negli appunti