Log4j: ecco un'altra patch, è quella definitiva?

Log4j: ecco un'altra patch, è quella definitiva?

Apache ha rilasciato Log4j 2.17.1 che va a correggere la vulnerabilità CVE-2021-44832 e che dovrebbe mettere fine all'emergenza Log4Shell.
Log4j: ecco un'altra patch, è quella definitiva?
Apache ha rilasciato Log4j 2.17.1 che va a correggere la vulnerabilità CVE-2021-44832 e che dovrebbe mettere fine all'emergenza Log4Shell.

Si continua a parlare di Log4Shell, la vulnerabilità che da ormai alcune settimane a questa parte sta destando non poche preoccupazioni nell’ambito della sicurezza informatica di tutto il mondo e che risulta essere praticamente uno dei casi più gravi dell’anno, se non addirittura di sempre. Nelle ultime ore, infatti, la Apache Foundation ha rilasciato una nuova versione di Log4j, quella siglata come 2.17.1, che va a risolvere ulteriori vulnerabilità.

Log4j 2.17.1: risolte altre vulnerabilità

Più precisamente, la nuova versione della libreria si concentra sulla vulnerabilità CVE-2021-44832, la quale potrebbe comportare l’esecuzione di codice non autorizzato se i malintenzionati che conducono l’attacco riescono a prendere il controllo del file di configurazione di quella specifica istanza di Log4j. È bene tenere presente che si tratta di una situazione abbastanza improbabile – ma non per questo impossibile – per cui il livello di pericolosità assegnato è di tipo moderato, con un punteggio di 6.6 su 10 secondo il Common Vulnerability Scoring System (CVSS).

Gli esperti di sicurezza informatica sono del parare che la patch in oggetto sia quella finale e che andrà quindi finalmente a chiudere in via definitiva la spinosa emergenza Log4Shell, ma sarà necessario assicurarsi del fatto che tutti effettuino l’aggiornamento. Gli utenti di Log4j devono infatti eseguire immediatamente l’aggiornamento all’ultima versione per Java 8 e pure le versioni 2.12.4 per Java 7 e 2.3.2 per Java 6 contenenti la correzione dovrebbero essere rilasciate a breve.

Ricordiamo che in base alle indagini condotte, le prime segnalazione di attacchi messi a segno sfruttando la falla Log4Shell risalgono ad inizio dicembre 2021, addirittura già diversi giorni prima che la prima notizia in merito alla questione venisse diffusa.

Fonte: TechRadar
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
30 dic 2021
Link copiato negli appunti