Sono ormai giorni e giorni che non si fa altro che parlare di Log4jShell, la gravissima vulnerabilità individuata nella libreria Log4j inclusa in prodotti e servizi Web basati su Java. Considerando la circostanza, Apache si è immediatamente attivata per pubblicare due patch risolutive, che però contenvano a loro volta delle vulnerabilità, il che ha costretto l’azienda a rimettersi nuovamente e immediatamente all’opera per cercare di far fronte alla cosa.
Log4jShell: Apache ha rilasciato Log4j 2.17.0 con la terza patch
Finalmente, adesso, sembra che Apache sia riuscita a raggiungere il suo obiettivo: rilasciare una nuova versione di Log4j con la terza patch di Log4jShell. La versione aggiornata di Log4j in questione è quella siglata come 2.17.0 e nello specifico dovrebbe essere immune sia alla vulnerabilità CVE-2021-45046, che interessava tutte le versioni dalla 2.0 beta9 alla 2.16.0 permettendo l’esecuzione di codice da remoto, sia alla vulnerabilità CVE-2021-44228, che è quella più propriamente nota come Log4Shell.
Subito dopo il rilascio della patch, la CISA (U.S. Cybersecurity and Infrastructure Security Agency), ha imposto a tutti i dipartimenti del governo civile e federale degli Stati Uniti d’America di aggiornare il prima possibile i propri sistemi alla versione più recente di Log4j.
Da notare pure che secondo la CISA alcuni Stati avrebbero finanziato dei gruppi di cracker con l’intento di sfruttare Log4Shell per infiltrarsi nelle strutture informatiche di altre nazioni al fine di comprometterle. Tra gli stati coinvolti vi sarebbero Cina, Iran, Corea del Nord e Turchia. Non è chiaro, invece, quali Paesi precisamente siano finiti nel mirino dei malintenzionati, ma pare che gli Stati Uniti siano in lizza. Gli hacker governativi, comunque, non sono gli unici ad aver sfruttato la vulnerabilità, anche i malintenzionati di minore portata, se così vogliamo definirli, se ne sono serviti per attuare truffe, diffondere di trojan e chi più ne ha più ne metta.
Ti potrebbe interessare
20 dic 2021