Apache ha rilasciato un'altra patch per l'ormai famigerata utilità Log4j, che risolve una nuova vulnerabilità di esecuzione di codice in modalità remota.
L'utilità di registrazione è stata al centro della comunità della sicurezza informatica per gran parte di dicembre, in seguito alla scoperta di una grave vulnerabilità che consentiva ad attori malintenzionati con conoscenze molto limitate di eseguire script remoti.
Da allora questo enorme buco è stato riparato, ma la versione più recente del registratore aveva i suoi difetti, anche se non così pericolosi come l'originale. Poco dopo aver risolto questa vulnerabilità, è stato rilevato un altro problema.
Con Log4j versione 2.17.1., l'ultima vulnerabilità (tracciata come CVE-2021-44832) è stata ora risolta. A tutti gli utenti è stato chiesto di dare la priorità all'aggiornamento.
Un'altra patch di Log4j
L'ultima vulnerabilità è classificata come vulnerabilità di esecuzione di codice in modalità remota, a causa della mancanza di controlli aggiuntivi sull'accesso JDNI in Log4j. Come riportato da BleepingComputer, la vulnerabilità è classificata come "moderata" e ha ricevuto un punteggio di 6.6/10 secondo il Common Vulnerability Scoring System (CVSS).
"L'appender JDBC deve utilizzare JndiManager per accedere a JNDI. L'accesso a JNDI deve essere controllato tramite una proprietà di sistema", spiega la descrizione della vulnerabilità.
"Relativo a CVE-2021-44832, in cui un utente malintenzionato con il permesso di modificare il file di configurazione del registro può creare una configurazione dannosa utilizzando un appender JDBC con un'origine dati che fa riferimento a un URI JNDI che può eseguire codice in remoto."
La vulnerabilità originale di Log4j, tracciata come CVE-2021-44228, è stata soprannominata Log4Shell. Ha consentito ai criminali di eseguire praticamente qualsiasi codice in remoto e, dato l'uso diffuso di Log4j, è diventato rapidamente un incubo per le aziende e le organizzazioni governative di tutto il mondo.
Jen Easterly, direttore della US Cybersecurity and Infrastructure Security Agency (CISA), lo ha descritto come "uno dei difetti più gravi" che abbia visto in tutta la sua carriera, "se non il più grave".
- Puoi anche controllare il nostro elenco delle migliori soluzioni antivirus disponibili oggi.
Tramite BleepingComputer