Η Apache κυκλοφόρησε την έκδοση 2.17.0 του patch για το Log4j αφού ανακάλυψε προβλήματα με την προηγούμενη κυκλοφορία τους, η οποία κυκλοφόρησε την Τρίτη.
Δείτε επίσης: Log4j: Σφοδρή ευπάθεια πλήττει το διαδίκτυο [UPDATE]
Η Apache είπε ότι η έκδοση 2.16 “δεν προστατεύει πάντα από infinite recursion στην αξιολόγηση αναζήτησης” και εξήγησε ότι είναι ευάλωτη στο CVE-2021-45105, μια ευπάθεια denial of service. Είπαν ότι η σοβαρότητα είναι “υψηλή” και του έδωσαν βαθμολογία CVSS 7,5.
Πρόσθεσαν ότι το τελευταίο θέμα ανακαλύφθηκε από τον Hideki Okamoto της Akamai Technologies και έναν ανώνυμο ερευνητή ευπάθειας.
Τα mitigations περιλαμβάνουν την εφαρμογή της ενημερωμένης έκδοσης κώδικα 2.17.0 και την αντικατάσταση των Context Lookups όπως ${ctx:loginId} ή $${ctx:loginId} με μοτίβα Thread Context Map (%X, %mdc, or %MDC) στο PatternLayout στη διαμόρφωση logging. Η Apache πρότεινε και την κατάργηση των αναφορών στα Context Lookups στο configuration όπως ${ctx:loginId} ή $${ctx:loginId} όπου προέρχονται από πηγές εξωτερικές της εφαρμογής, όπως κεφαλίδες HTTP ή user input.
Σημείωσαν ότι μόνο το αρχείο JAR Log4j-core επηρεάζεται από το CVE-2021-45105.
Την Παρασκευή, οι ερευνητές ασφαλείας άρχισαν να δημοσιεύουν διάφορα tweets σχετικά με πιθανά προβλήματα με το 2.16.0, με ορισμένους να εντοπίζουν την ευπάθεια denial of service.
Δείτε επίσης: Το TellYouThePass ransomware εκμεταλλεύεται την ευπάθεια Log4Shell
Φυσικά όπως έχετε καταλάβει το θέμα Log4j κυριαρχεί τον τελευταίο καιρό. Η CISA κυκλοφόρησε πολλά advisories που απαιτούν από τις ομοσπονδιακές μη στρατιωτικές υπηρεσίες στις ΗΠΑ να εφαρμόζουν ενημερώσεις κώδικα πριν από τα Χριστούγεννα, ενώ αρκετές μεγάλες εταιρείες τεχνολογίας όπως η IBM, η Cisco και η VMware έχουν αγωνιστεί για να αντιμετωπίσουν τα τρωτά σημεία Log4j στα προϊόντα τους.
Η εταιρεία ασφαλείας Blumira ισχυρίζεται ότι βρήκε ένα νέο διάνυσμα επίθεσης Log4j που μπορεί να αξιοποιηθεί μέσω του path ενός listening server σε ένα μηχάνημα ή τοπικό δίκτυο, θέτοντας δυνητικά τέλος στην υπόθεση ότι το πρόβλημα περιοριζόταν σε εκτεθειμένους ευάλωτους servers.
Άλλες εταιρείες κυβερνοασφάλειας έχουν διαπιστώσει ότι μεγάλες ομάδες ransomware όπως η Conti διερευνούν τρόπους για να επωφεληθούν από την ευπάθεια.
Δείτε επίσης: Log4j Log4Shell: Εντοπίστηκε η πρώτη ransomware επίθεση που χρησιμοποιεί την ευπάθεια;
Η Google δημοσίευσε μια αναφορά ασφαλείας την Παρασκευή, όπου τα μέλη της Ομάδας Open Source Insights James Wetter και Nicky Ringland δήλωσαν ότι ανακάλυψαν ότι 35.863 από τα διαθέσιμα Java artifacts από το Maven Central εξαρτώνται από τον επηρεαζόμενο κώδικα Log4j. Αυτό σημαίνει ότι πάνω από το 8% όλων των πακέτων στο Maven Central έχουν τουλάχιστον μία έκδοση που επηρεάζεται από αυτήν την ευπάθεια.
Πηγή πληροφοριών: zdnet.com
