Szerző: Koi Tamás

2021. december 13. 10:13

Igazi lidércnyomás a Log4Shell a java-fejlesztőknek

Nem lesz eseménytelen év végéjük a java-fejlesztőknek egy pénteken nyilvánosságra hozott, kritikus besorolású sebezhetőség miatt, mely kevés kivételtől eltekintve gyakorlatilag minden szolgáltatást érint, köztük több százmilliós felhasználói bázissal rendelkező rendszereket is.

Egyes szakértők szerint egyenesen az elmúlt évtized legnagyobb kiberbiztonsági incidense lehet az Apache naplózójában múlt hét végén nyilvánosságra hozott kritikus besorolású biztonsági rés, mely gyakorlatilag minden internetes szolgáltatást, illetve több milliárd potenciális klienst érinthet az okostelefonoktól kezdve a PC-ken át a különféle hálózati berendezésekkel bezárólag.

A Java hibaüzenetek naplózására használt Apache Log4j könyvtárat érintő, Log4Shell néven becézett, CVE-2021-44228 számú sérülékenység hitelesítés nélküli, tetszőleges, távoli kódfuttatást tesz lehetővé a támadók számára, melynek sikeres kihasználása estén teljes, rendszerszíntű hozzáférést tesz lehetővé. 

java_programming_(1)

A Log4Shell első nyomaira a Microsoft tulajdonában lévő Minecraft játékban bukkantak a LunaSec kutatói, és bár eleinte úgy vélték, más szoftvert nem érint a hiba, hamar fény derült rá, hogy a sebezhetőség ott lehet a legtöbb, Java nyelven íródott applikációban, illetve Java-t használó szolgáltatásban, szerverkomponensben, amennyiben azok a Log4j 2.0 és 2.14.1 közötti kiadását használják. Az érintett multinacionális nagyvállalatok, illetve szolgáltatások listáján ott van többek közt az Apple, a Steam, a Cloudflare, a Twitter, az Amazon, a Tesla, a VMWare, a Google vagy éppen a LinkedIn.

A klasszikus, távoli kódfuttatást lehetővé tevő biztonsági rés a nagy számú potenciálisan érintett szerver és kliens mellett a viszonylag egyszerű támadási mód miatt számít különösen veszélyesnek. Szakértők arra hívják fel a figyelmet, hogy nem kell különösebb gyakorlat a rendszerek feltöréséhez, elég ha az adott applikáció egyetlen elemet bejegyez a naplóba, azt könnyűszerrel ki tudják cserélni a hackerek a saját kódjukra.

A kritikus sérülékenység publikálását követően sorra adták ki a hétvégén a figyelmeztetést a különféle kormányzati és privát kiberbiztonsági ügynökségek, szervezetek, így többek közt a Nemzetbiztonsági Szakszolgálathoz tartozó Nemzeti Kibervédelmi Intézet is. 

A probléma kiküszöbölésére az Apache Foundation azt javasolja, hogy mindenki frissítse az érintett könyvtárat a hétvégén kiadott 2.15.0 verzióra, amennyiben ez nem kivitelezhető, használják az alábbi hivatkozáson elérhető alternatív megoldásokat

a címlapról