Outra vulnerabilidade encontrada no Log4j, desta vez é uma negação de serviço

another Log4j vulnerability

Log4Shell, descoberto recentemente na popular biblioteca de registro Log4j, que faz parte do Projeto Apache Logging, continua a piorar, pois outra vulnerabilidade foi encontrada. Desta vez é hora de uma vulnerabilidade de “negação de serviço”.

O problema foi originalmente descoberto enquanto detecta bugs em servidores do Minecraft, mas a biblioteca Log4j está presente em quase todas as aplicações corporativas e servidores Java. Por exemplo, ele pode ser encontrado em quase todos os produtos empresariais lançados pela Apache Software Foundation, incluindo Apache Struts, Apache Flink, Druida Apache, Flume Apache, Apache Solr, Apache Kafka, Apache Dubo. Log4j também é usado ativamente em projetos de código aberto como Redis, Elasticsearch, Logstash Elástico ou Hydra.

Eu também disse isso Vulnerabilidade Log4j ameaça 35,000 Pacotes Java.

Por isso, empresas que utilizam qualquer um desses produtos também são indiretamente vulneráveis ​​a ataques ao Log4Shell, embora eles possam nem saber disso. Especialistas em segurança da informação alertaram imediatamente que as soluções de gigantes como a Apple, Amazonas, Twitter, nuvemflare, Vapor, Tencent, Baidu, DIDI, JD, NetEase, e provavelmente milhares de outras empresas poderiam estar vulneráveis ​​ao Log4Shell.

A forma como o Log4Shell funciona é simples: a vulnerabilidade força aplicativos e servidores baseados em Java que usam a biblioteca Log4j a registrar uma string específica. Quando um aplicativo ou servidor processa esses logs, uma string pode fazer com que o sistema vulnerável carregue e execute um script malicioso do domínio controlado do invasor. O resultado será um sequestro completo do aplicativo ou servidor vulnerável, e o ataque pode se desenvolver ainda mais.os especialistas disseram.

Foi revelado anteriormente que o primeiro patch para o problema original CVE-2021-44228 (versão 2.15) introduziu apenas uma nova vulnerabilidade RCE CVE-2021-45046 para Log4j, que recebeu 9 aponta para fora 10 na escala de classificação de vulnerabilidade CVSS.

Devido a esta, os administradores foram fortemente aconselhados a usar apenas a versão atual 2.16 e acompanhar novos desenvolvimentos no Página de atualização do Log4j. O fato é que na versão Log4j 2.15, mais duas vulnerabilidades menos perigosas foram encontradas (CVE-2021-4104 e CVE-2021-42550), que também foram eliminados apenas com o lançamento da versão 2.16.

Infelizmente, versão 2.16 também não durou muito. Fim-de-semana passado, Versão Log4j 2.17 foi liberado, como uma grave negação de serviço (DoS) problema foi detectado na última versão, que recebeu o identificador CVE-2021-45105 (7.5 na escala CVSS). O bug está relacionado ao fato de que o Log4j nem sempre protege contra recursão infinita durante a avaliação da pesquisa.

Ao mesmo tempo, especialistas pedem para não entrar em pânico e não se apressar em abandonar o uso do Log4j.

Não deveria ser uma surpresa que vulnerabilidades adicionais estejam sendo descobertas no Log4j, dado o maior foco na biblioteca. Da mesma maneira, a descoberta de uma vulnerabilidade PrintNightmare durante o verão resultou na descoberta de muitos problemas individuais adicionais. A descoberta de vulnerabilidades adicionais no Log4j não deve levantar preocupações sobre a segurança da própria biblioteca. Na verdade, Log4j é mais seguro devido à atenção extra que os pesquisadores estão dando a ele.comentou Jake Williams, CTO e cofundador da BreachQuest

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *