Apache lança atualização de segurança para nova vulnerabilidade no log4j

 A Apache Software Foundation lançou uma atualização de segurança para log4j e insta os administradores a atualizarem. Uma nova vulnerabilidade no software permite a execução arbitrária de códigos. A vulnerabilidade é menos severa do que as vulnerabilidades anteriores.

Para explorar a vulnerabilidade, um invasor deve ser capaz de modificar o arquivo de configuração de log. De acordo com seu descobridor, o pesquisador de segurança Yaniv Nizry, a vulnerabilidade é mais complexa do que a vulnerabilidade Log4Shell original. Se o invasor modificou o arquivo de configuração de registro, ele pode criar uma configuração. Ele usa JDBCApender com uma referência a um 'Java Naming and Directory Interface URI', que pode executar código arbitrário . Isso torna uma exploração possível. Dessa forma, o invasor pode acessar o servidor da vítima por meio de um shell remoto.

A vulnerabilidade é designada CVE-2021-44832 e tem uma pontuação de vulnerabilidade de 6,6 em uma escala de 1 a 10. Como o invasor já deve ter acesso ao arquivo de configuração de registro, na prática a vulnerabilidade é menos fácil de explorar do que a vulnerabilidade grave na ferramenta log4j que surgiu no início de dezembro . Também é menos sério do que a vulnerabilidade descoberta na atualização de segurança que apareceu nele . Quatro vulnerabilidades foram descobertas no log4j nas últimas semanas.

Em uma postagem de blog, Nizry explica como um invasor pode usar o exploit. Ele diz que, desde o Log4Shell, o software do Apache está sob uma lente de aumento por pesquisadores de segurança, então não é surpreendente que eles descubram mais vulnerabilidades no log4j. Ele enfatiza que na versão 2.17.0 os principais métodos de ataque estão bloqueados, mas ainda é possível executar a execução de código arbitrário usando a configuração padrão do log4j.

Nizry relatou a vulnerabilidade do Apache na segunda-feira, 27 de dezembro, e recebeu uma resposta no mesmo dia. Um dia depois, a Apache lançou uma atualização de segurança, versão 2.17.1 do software, que tem como objetivo desabilitar a vulnerabilidade. O Apache está solicitando que os usuários atualizem para log4j 2.3.2 para Java 6, log4j 2.12.4 para Java 7 ou versão 2.17.1 para Java 8 e mais recente. A vulnerabilidade está presente em todas as versões do software até e incluindo a versão 2.17.0. A atualização também elimina uma vulnerabilidade que pode permitir um ataque de negação de serviço .