Log4j

Apache fjerner enda en sårbarhet fra Log4j

Den er ikke like alvorlig som de foregående, men kan likevel utnyttes av ondsinnede.

Nål, lappesaker og Log4j-logoen.
Nål, lappesaker og Log4j-logoen. (Illustrasjon: Colourbox. Montasje: Digi.no)

Den er ikke like alvorlig som de foregående, men kan likevel utnyttes av ondsinnede.

Apache kom tirsdag denne uken med nok en sikkerhetsoppdatering til det Java-baserte loggbiblioteket Log4j, som har fått svært mye oppmerksomhet de siste ukene. Dette betyr at alle nok en gang må oppdatere programvaren i alle sammenhenger hvor den brukes. Den nye sikkerhetsoppdateringen har versjonsnummeret 2.17.1.

Les også

Kjøring av vilkårlig kode

Apache oppgir at også denne hittil siste sårbarheten i rekken, CVE-2021-44832, åpner for fjernkjøring av vilkårlig kode (RCE – Remote Code Execution). Men sikkerhetsforskeren som har funnet den, Yaniv Nizry i Checkmarx, er ikke helt enig. Han skriver i et blogginnlegg at det derimot er mulig å oppnå kjøring av vilkårlig kode ved hjelp av et Man-In-The-Middle-angrep (MITM).

For å utnytte sårbarheten må angriperen nemlig ha tilgang til å endre loggkonfigurasjonsfilen. Har angriperen slik tilgang, er det mulig for vedkommende å lage en ondsinnet konfigurasjon som benytter en JDBC Appender med en datakilde som henviser til en JNDI URI, som kan kjøre ekstern kode. 

Flytdiagram som beskriver potensiell utnyttelse av sårbarheten CVE-44832 i Log4j.
Slik kan sårbarheten CVE-44832 i Log4j utnyttes. Illustrasjon: Checkmarx

Berører svært mange

Sårbarhetene i Log4j har blitt ansett som ekstra alvorlige fordi biblioteket brukes direkte eller indirekte av svært mange forskjellige systemer. Dette gjør det vanskelig for systemadministratorer å holde oversikt over hvilke systemer som er berørt av sårbarhetene. 

I tillegg kan det ta lang tid før all programvare som benytter Log4j, faktisk oppdateres til å bruke den nyeste versjonen av biblioteket. 

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen