A Apache Software Foundation publicou um novo patch Log4j ainda na semana passada após descobrir problemas com a versão 2.16. Assim, surge o novo patch 2.17.0 para Log4j no Apache. A versão anterior saiu há uma semana e já apresentava problemas. A própria empresa confirmou que a versão 2.16 “nem sempre protege da recursão infinita na avaliação de pesquisa” e explicou que é vulnerável ao CVE-2021-45105, um problema de negação de serviço. Eles disseram que a gravidade é “alta” e deram uma pontuação CVSS de 7,5.
A descoberta foi do pesquisador Hideki Okamoto da Akamai Technologies e um pesquisador de vulnerabilidade anônimo.
O Apache Log4j2 versões 2.0-alpha1 a 2.16.0 não protegeu contra recursão não controlada de pesquisas autorreferenciais. Quando a configuração de registro usa um layout de padrão não padrão com pesquisa de contexto (por exemplo, $$ {ctx: loginId}), os invasores com controle sobre os dados de entrada do Thread Context Map (MDC) podem criar dados de entrada maliciosos que contêm uma pesquisa recursiva, resultando em um StackOverflowError que encerrará o processo. Isso também é conhecido como ataque DOS (Denial of Service), explicou a empresa Apache.
Apache lança novo patch 2.17.0 para Log4j
O problema parece mais difícil de resolver do que eles esperava, Até agora, quase 5.000 arquivos foram corrigidos. Porém, a estimativa de pessoas ligadas à questão é que haja pelo menos outros 30 mil pendentes. As atenuações incluem a aplicação do patch 2.17.0 e a substituição de pesquisas de contexto como $ {ctx: loginId} ou $$ {ctx: loginId} por padrões de mapa de contexto de thread (% X,% mdc ou% MDC) em PatternLayout na configuração de registro. O Apache também sugeriu remover referências a Pesquisas de Contexto na configuração como $ {ctx: loginId} ou $$ {ctx: loginId} onde se originam de fontes externas ao aplicativo, como cabeçalhos HTTP ou entrada do usuário.
Eles observaram que apenas o arquivo JAR do núcleo Log4j é afetado pelo CVE-2021-45105.
Na sexta-feira, pesquisadores de segurança online começaram a tweetar sobre possíveis problemas com o 2.16.0, com alguns identificando a vulnerabilidade de negação de serviço.
A discussão sobre o Log4j dominou as conversas durante toda a semana que passou. A CISA lançou vários avisos exigindo que agências civis federais nos EUA aplicassem patches antes do Natal, enquanto várias grandes empresas de tecnologia como IBM, Cisco e VMware correram para resolver as vulnerabilidades Log4j em seus produtos.
A empresa de segurança Blumira afirma ter encontrado um novo vetor de ataque Log4j que pode ser explorado através do caminho de um servidor de escuta em uma máquina ou rede local, potencialmente colocando um fim à suposição de que o problema estava limitado a servidores vulneráveis expostos.
Outras empresas de segurança cibernética descobriram que grandes grupos de ransomware como o Conti estão explorando maneiras de tirar proveito da vulnerabilidade.
O Google divulgou um relatório de segurança na sexta-feira, onde os membros do Open Source Insights Team James Wetter e Nicky Ringland disseram que descobriram que 35.863 dos artefatos Java disponíveis no Maven Central dependem do código Log4j afetado. Isso significa que mais de 8% de todos os pacotes no Maven Central têm pelo menos uma versão que é afetada por esta vulnerabilidade, explicaram os dois.
“O impacto médio no ecossistema dos alertas que afetam o Maven Central é de 2%, com a mediana inferior a 0,1%”, disseram Wetter e Ringland.
Via ZDNet
