Trwa likwidowanie podatności wykrytej w bibliotece Log4j

Apache opublikował kolejną wersje łatki likwidującej podatność wykrytą w oprogramowaniu Log4j (biblioteka języka programowania Java służąca do tworzenia logów podczas działania aplikacji), po tym gdy okazało się, że zeszłotygodniowa łatka zawiera błąd i nie chroni komputera tak jak powinna.

Źródło: Apache

Nowa wersja łatki została oznaczona numerem 2.17.0 (pierwsza miała numer 2.16). Apache w dołączonej do łatki instrukcji wyjaśnia, że wersja 2.16.0 zawiera drobny, ale istotny błąd i nie zawsze potrafi ochronić komputery przez podatnością CVE-2021-45105, którą hakerzy wykorzystują do przeprowadzania ataków typyu DoS (odmowa świadczenia usług). A jest to według CVSS (Common Vulnerability Scoring System) bardzo groźna podatność, gdyż przyznano jej w skali złośliwości ponad 7 punktów.

Apache wyjaśnia, że wszystkie poprzednie łaty (od numeru 2.0-alpha1 do numeru 2.16.0) nie chroniły biblioteki Log4j przed niekontrolowaną rekurencją występującą w trakcie wyszukiwań autoreferencyjnych, co skutkowało pojawieniem się błędu StackOverflowError, który pozwala hakerom inicjować ataki DoS. Błąd odkrył informatyk pracujący w firmie Akamai Technologies (Hideki Okamoto).

Zobacz również:

  • Rosyjska policja namierzyła i zlikwidowała hakerską grupę REvil

Dyskusja o błędzie w bibliotece Log4j dominowała w zeszłym tygodniu na wielu forach poświęconych zagadnieniom bezpieczeństwa komputerów. CISA opublikowała w ostatnich dniach szereg poradników zalecających stosowanie łat likwidujących tę podatność, a kilka dużych firm technologicznych, takich jak IBM, Cisco i VMware badało, czy podatność ta nie występuje w ich produktach.

Kilka innych firm alarmuje też, że szkodliwe pogramy inicjujące ataki ransomware (takie jak Conti) mogły zostać już zmodyfikowane, po to aby korzystać z tej luki. Sprawa wydaje się więc być rozwojowa i może mieć dalszy ciąg, gdyż do biblioteki Log4j może się odwoływać wiele niezidentyfikowanych jeszcze produktów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200