Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Perchè è importante aggiornare Log4j

Il software Log4j è stato sviluppato dal team di Apache, lo stesso dei web server che utilizziamo sui nostri siti, ed è utilizzato per tenere traccia dei log di un server o di un qualsiasi servizio online, ed è da giorni oggetto di discussione per via del fatto che molte versioni circolanti e attive anche su siti molto grossi sono affette da una falla 0-day. Che lo ricordiamo è un tipo di minaccia informatica molto subdola, trattandosi di un bug di sicurezza mai documentato prima di oggi.

Il problema in termini tecnici è il seguente: Apache Log4j fino alla versione 2.14.1 non prevede il filtraggio degli input al sistema mediante LDAP e analoghi endpoint (incluso JNDI). Nella pratica, un attaccante informatico potrebbe, se ha modo di poter scrivere nel log, eseguire codice arbitrario mediante server LDAP qualora la feature di message lookup substitution sia abilitata. Dalla versione di Log4j 2.15.0, questa feature è disabilitata di default.La falla è stata classificata come Log4Shell e non richiede particolari competenze in ambito informatico, consentendo l’esecuzione arbitraria di codice (incluso malware) su tutti i siti che usano questo sistema. Che sono tanti, e vanno dal sito di Twitter a quello di Minecraft. Tutti coloro che usano server Java dovrebbero, di fatto, interrogarsi sulla questione e aggiornare almeno alla versione 2.15.0. 

Per calmierare temporaneamente il problema si suggerisce, come soluzione temporanea, di impostare la variabile di sistema log4j2.formatMsgNoLookups a TRUE, oppure di impostare il parametro LOG4J_FORMAT_MSG_NO_LOOKUPS sempre a TRUE. Il bug in questione è considerato “critico” a livello di gravità , ed è ampiamente documentato nel sito ufficiale del software di Apache.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Apache Log4j 2 consiste in un upgrade del vecchio Log4j 1.x, e forniva già  di suo varie correzioni a bug noti scoperti fin dal 2015. Il problema, in questo caso, è la falla cosiddetta 0-day che è emersa grazie al lavoro di Chen Zhaojun di Alibaba Cloud Security Team, un ricercatore informatico che l’ha scoperta ed ha pubblicato il problema solo dopo che gli sviluppatori avevano ultimato il fix del codice.

Ti potrebbe interessare:  190 anni nasceva Francis Guthrie, ideatore del teorema dei quattro colori

Per essere sicuri di utilizzare la versione di Log4j corretta, cosa che fanno vari siti famosi tra cui Twitter e Twitch, è indispensabile aggiornare alla versione Log4j 2.15.0 e successive. Il bug di sicurezza in questione è stato classificato ufficialmente come CVE-2021-44228.

Tutte le versioni di log4j a partire dalla 2.0-beta9 fino alla 2.14.1 devono, pertanto, essere aggiornate quanto prima. Photo by Joan Gamell on Unsplash

Da non perdere 👇👇👇



Trovalost.it esiste da 4439 giorni (12 anni), e contiene ad oggi 4022 articoli (circa 3.217.600 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
5/5 (1)

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.