Arrivato un update di urgenza per Log4j: scoperta infatti una vulnerabilità zero day che mette a rischio di attacco quasi tutte le applicazioni aziendali con Java; vari siti web, applicazioni e servizi famosi come Minecraft, iCloud, Twitter e Steam. Il bug permette di prendere il controllo dei loro server e client, secondo diversi ricercatori di sicurezza. La minaccia è stata battezzata appunto Log4j, dal nome della libreria vulnerabile.
Indice degli argomenti
Vulnerabilità Log4j
È quindi la Apache Software Foundation ad aver rilasciato un aggiornamento di sicurezza di emergenza che corregge la vulnerabilità 0-day (etichettata come CVE-2021-44228) nella popolare libreria di log Log4j, che fa parte dell’Apache Logging Project. La patch è stata rilasciata come parte della versione 2.15.0.
WHITEPAPER
Big Data Analytics: dai browser ai social. Come analizzare la quantità crescente di dati?
La vulnerabilità è stata denominata Log4Shell e ha ottenuto 10 punti su 10 nella scala di valutazione della vulnerabilità CVSS. Il bug consente l’esecuzione di codice remoto non autenticato (RCE). Il problema è aggravato dal fatto che ieri il ricercatore di sicurezza informatica p0rz9 ha già pubblicato un exploit PoC su Twitter, dimostrando che la vulnerabilità può essere sfruttata da remoto, e questo inoltre non richiede particolari competenze tecniche.
Come funziona Log4Shell
La società di sicurezza LunaSec descrive come funziona Log4Shell sul proprio blog dicendo che: la vulnerabilità costringe le applicazioni e i server basati su Java che utilizzano la libreria Log4j a registrare una riga specifica nei propri sistemi interni. Quando un’applicazione o un server elabora tali registri, una stringa p ..
Support the originator by clicking the read the rest link below.
