Log4Shell – LogJam sérülékenység
Nyilvánosságra került az Apache Log4j egy kritikus, nulladik napi sérülékenysége, amit CVE-2021-44228 azonosítóval tartanak nyilván, a nagyobb gond, hogy a kihasználására szolgáló koncepció is.
Miután december 9-én megjelent a GitHubon az első kihasználási koncepció (Proof-of-Concept) és kihasználást keresők, elkezdték átvizsgálni az internetet és kihasználni a sérülékenységet. A sérülékenység egyszerűsége és az kihasználás alkalmazhatóságának széleskörűsége miatt valószínű, hogy a zsarolóprogramok üzemeltetői azonnal elkezdik kihasználni.
A java alkalmazásokban széles körben használt naplózási rendszer hibáját frissítéssel, vagy a problémát okozó rész letiltásával lehet javítani.
Egyes protokollok nem biztonságosak vagy távoli kódfuttatást tesznek lehetővé. A Log4j most már alapértelmezés szerint csak a java, ldap és ldaps protokollokra korlátozza a protokollokat, és az ldap protokollokat alapértelmezés szerint csak a helyi állomáson kiszolgált Java primitív objektumok elérésére korlátozza.
Az egyik vektor, amely lehetővé tette ennek a sebezhetőségnek a kitettségét, az volt, hogy a Log4j engedélyezte a Lookupok megjelenését a naplóüzenetekben. A Log4j 2.15.0-tól kezdve ez a funkció alapértelmezés szerint le van tiltva. Bár a felhasználóknak lehetőségük van a Lookupok engedélyezésére, a felhasználóknak nem ajánlott engedélyezni ezt a funkciót.
Azok számára, akik nem tudnak frissíteni a 2.15.0-ra, a >=2.10-es kiadásokban ez a sebezhetőség csökkenthető a log4j2.formatMsgNoLookups system property, vagy a LOG4J_FORMAT_MSG_NO_LOOKUPS környezeti változó true értékre állításával. A 2.0-beta9 és 2.10.0 közötti kiadások esetében a JndiLookup osztály eltávolítása a classpath-ból: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
Az otthoni felhasználóknál valószínűleg kevésbé jelentkezhet a Java kihasználása (bár a Minecraft még mindig használja), a vállalati szoftverektől a webes alkalmazásokig, pl. az Apple, Amazon, Cloudflare, Twitter és Steam szolgáltatásait jelentős mértékben érintheti.