Szerző: Koi Tamás

2021. december 17. 10:11

Versenyt futnak az idővel a fejlesztők a Log4Shell miatt

Számos globális IT-multi több száz termékéhez még mindig nem készült el az a javítás, mely befoltozza az Apache Log4j naplózóban felfedezett, múlt pénteken publikált kritikus biztonsági rést.

A világ legnagyobb IT-óriásai közül többen versenyt futnak az idővel annak érdekében, hogy még a karácsonyi leállások előtt elkészüljön az a szoftveres javítás, mely az idei év egyik legsúlyosabb biztonsági sebezhetőségét javítja. Az Apache naplózójában felfedezett, aktívan kihasznált kritikus biztonsági rés javítása ugyanis nem minden esetben triviális feladat, hiába adták ki időközben az érintett Log4j modul javított, 2.15-ös verzióját.

A Java hibaüzenetek naplózására használt Apache Log4j könyvtárat érintő, Log4Shell néven becézett, CVE-2021-44228 számú sérülékenység hitelesítés nélküli, tetszőleges, távoli kódfuttatást tesz lehetővé a támadók számára, melynek sikeres kihasználása estén teljes, rendszerszíntű hozzáférést tesz lehetővé. 

developer_2

A Log4Shell első nyomaira a Microsoft tulajdonában lévő Minecraft játékban bukkantak a LunaSec kutatói, és bár eleinte úgy vélték, más szoftvert nem érint a hiba, hamar fény derült rá, hogy a sebezhetőség ott lehet a legtöbb, Java nyelven íródott applikációban, illetve Java-t használó szolgáltatásban, szerverkomponensben, amennyiben azok a Log4j 2.0 és 2.14.1 közötti kiadását használják (ebből a szempontból azok a cégek, melyek még nem frissítettek az 1.x verzióról, most kényelmesen hátradőlhetnek).

Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) közreműködésével készült nyilvános lista igyekszik pontos képet adni arról, hogy mely cégek termékeit érinti a sebezhetőség, illetve rendelkezésre áll-e már javítás a biztonsági résre. A javítatlan szoftverkomponensek listáján magyar idő szerint péntek reggel ott szerepel egyebek mellett számos Avaya, Cisco és VMware termék, de a tavalyi év egyik legnagyobb visszhangját kapott biztonsági incidense során érintett SolarWinds két megoldása is.

Bár a biztonsági rést több jelentés szerint is aktívan kihasználják már hackerek, köztük államilag támogatott entitások, a CISA a hét közepén közölte, eddig nincs nyoma annak, hogy a Log4Shell-en keresztül sikeresen támadtak volna amerikai kormányzati intézményeket.

a címlapról