Sikkerhet

Apache fjerner enda en sårbarhet fra Log4j

Den er ikke like alvorlig som de foregående, men kan likevel utnyttes av ondsinnede.

Nål, lappesaker og Log4j-logoen.
Nål, lappesaker og Log4j-logoen. Illustrasjon: Colourbox. Montasje: Digi.no
Harald BrombachHarald Brombach– Journalist
29. des. 2021 - 09:40

Apache kom tirsdag denne uken med nok en sikkerhetsoppdatering til det Java-baserte loggbiblioteket Log4j, som har fått svært mye oppmerksomhet de siste ukene. Dette betyr at alle nok en gang må oppdatere programvaren i alle sammenhenger hvor den brukes. Den nye sikkerhetsoppdateringen har versjonsnummeret 2.17.1.

En feilkonfigurasjon hos leverandør er utnyttet av en trusselaktør som fikk tak i spilladferdsdata og ansattes e-postadresser fra Norsk Rikstoto.
Les også:

Rikstoto-data lekket etter tabbe hos leverandør

Kjøring av vilkårlig kode

Apache oppgir at også denne hittil siste sårbarheten i rekken, CVE-2021-44832, åpner for fjernkjøring av vilkårlig kode (RCE – Remote Code Execution). Men sikkerhetsforskeren som har funnet den, Yaniv Nizry i Checkmarx, er ikke helt enig. Han skriver i et blogginnlegg at det derimot er mulig å oppnå kjøring av vilkårlig kode ved hjelp av et Man-In-The-Middle-angrep (MITM).

For å utnytte sårbarheten må angriperen nemlig ha tilgang til å endre loggkonfigurasjonsfilen. Har angriperen slik tilgang, er det mulig for vedkommende å lage en ondsinnet konfigurasjon som benytter en JDBC Appender med en datakilde som henviser til en JNDI URI, som kan kjøre ekstern kode. 

Slik kan sårbarheten CVE-44832 i Log4j utnyttes. Illustrasjon:  Checkmarx
Slik kan sårbarheten CVE-44832 i Log4j utnyttes. Illustrasjon:  Checkmarx

Berører svært mange

Sårbarhetene i Log4j har blitt ansett som ekstra alvorlige fordi biblioteket brukes direkte eller indirekte av svært mange forskjellige systemer. Dette gjør det vanskelig for systemadministratorer å holde oversikt over hvilke systemer som er berørt av sårbarhetene. 

I tillegg kan det ta lang tid før all programvare som benytter Log4j, faktisk oppdateres til å bruke den nyeste versjonen av biblioteket. 

Angriper fikk full kontroll via en filopplaster, ifølge Morten Reintz, informasjonssikkerhetssjef ved Nord universitet
Les også:

Datainnbrudd: Flere tusen studenter er berørt

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra