logo_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
hammer_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
  • Codici sconto
  • Recensioni
  • Recensione RTX 3090 Ti
  • Come installare Windows 11
  • Recensione RTX 3080 12GB
  • Le migliori VPN del 2022
Software

Pronta la seconda patch contro Log4Shell, ma la vulnerabilità è ancora diffusa

Codici sconto
Recensioni
Recensione RTX 3090 Ti
Come installare Windows 11
Recensione RTX 3080 12GB
Le migliori VPN del 2022

Tom's Hardware vive grazie al suo pubblico. Quando compri qualcosa dai nostri link, potremmo guadagnare una commissione. Scopri di più

Software

Pronta la seconda patch contro Log4Shell, ma la vulnerabilità è ancora diffusa

di Rodrigo Boschi | martedì 21 Dicembre 2021 11:45
  • 2 min
  • vai ai commenti
Più informazioni su
  • apache
  • cyber security
  • Java
  • Log4j
  • Log4Shell
  • Software
  • apache software foundation

La scoperta nella prima metà del mese di dicembre della vulnerabilità identificata col nome Log4Shell ha scosso in profondità il mondo dell’informatica. Molti esperti di cyber security non hanno esitato a definirla la falla più grave della storia e attualmente ne è stato documentato l’uso in oltre un milione di attacchi, anche da parte di gruppi hacker appoggiati dal governo cinese.

cybersecurity

Le società attive nel settore come Microsoft, Google, Amazon, Cisco ed IBM sono corse ai ripari rilasciando dei fix per i loro prodotti vulnerabili e anche il mondo open source non è stato a guardare, con Apache Software Foundation che ha rilasciato nella giornata di mercoledì la patch 2.16, che doveva mitigare i rischi di potenziali attacchi DoS (Denial of Service). Sfortunatamente la soluzione si è rivelata poco efficace, come indicato da Akamai Technologies e da altri ricercatori anonimi.

La Apache Software foundation ha confermato la scoperta dichiarando: “Apache Log4j2 dalle versioni 2.0-alpha1 alla 2.16.0 non proteggeva dalla ricorsione incontrollata da lookup autoreferenziali. Quando la configurazione di log utilizza un Pattern Layout non predefinito con un Context Lookup (per esempio, $${ctx:loginId}), gli aggressori con il controllo sui dati di input Thread Context Map (MDC) possono creare dati di input dannosi che contengono un lookup ricorsivo, causando uno StackOverflowError che termina il processo. Questo è anche conosciuto come un attacco DoS (Denial of Service)”

Per questo motivo la fondazione ha prontamente rilasciato la patch 2.17.0 nella giornata di venerdì, con l’intento di risolvere il problema dei lookup autoreferenziali. Le mitigazioni della patch 2.17.0 includono la sostituzione dei Context Lookups, come ${ctx:loginId} o $${ctx:loginId}, con i pattern Thread Context Map (%X, %mdc, o %MDC) in PatternLayout nella configurazione dei log.

Apache ha anche suggerito di rimuovere i riferimenti ai Context Lookup nella configurazione, come ${ctx:loginId} o $${ctx:loginId}, quando provengono da fonti esterne all’applicazione come gli header HTTP o l’input dell’utente.

Mentre l’informatica corre ai ripari giungono conferme di utilizzo della vulnerabilità Log4Shell da ogni parte del mondo: James Wetter e Nicky Ringland, membri di Open Source Insights Team di Google, hanno dichiarato di aver trovato che 35.863 dei progetti Java disponibili su Maven Central dipendono da codice vulnerabile.

Vi segnaliamo inoltre il progetto Huntress Log4Shell Vulnerability Tester, volto a fornire uno strumento semplice e veloce per identificare software e siti vulnerabili a Log4Shell.

di Rodrigo Boschi |
martedì 21 Dicembre 2021 11:45
  • 2 min
  • vai ai commenti
Shares
Più informazioni su
  • apache
  • cyber security
  • Java
  • Log4j
  • Log4Shell
  • Software
  • apache software foundation

Scarica gratis

l'app di Tom's Hardware
Vuoi ricevere aggiornamenti sui tuoi topics preferiti ogni giorno? Iscriviti alla newsletter
Leggi i commenti
toms_logo_white_footer
  • Privacy
  • Chi siamo
  • Contattaci
  • Feed RSS
  • Codici sconto
Google Play
App Store

3LABS S.R.L. • Via Dante 16 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

Copyright © 2022 - 3Labs Srl. - Tutti i diritti riservati. - credits: logo_edinet


  • Tom's Hardware
  • Game division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLabs
  • More
  • Home
  • Le news di oggi
  • Le news di ieri
  • Le news dell'altro ieri

Ultime news

Ultimo video

Da non perdere su Tom's Hardware
Bombay Sapphire Gran Cru
Birre, vini e superalcolici in sconto su Amazon a prezzi da discount!
Su Amazon sono in sconto tante ottime bottiglie di vino, birre e altri superalcolici! Tutti a prezzi da discount!
2 di Tom's Hardware - 13 minuti fa
  • Alcolici
  • alcool
  • Offerte Amazon
  • Offerte Cibo e Bevande
  • Offerte e Sconti
2
Offerta
Oppo Reno7
Oppo Week su Amazon: smartphone, auricolari e smartband in super sconto!
State pensando di acquistare qualche articolo tecnologia a un prezzo conveniente? Non fatevi scappare lo offerte per la Oppo Week.
2 di Valentina Valzania - 1 ora fa
  • Auricolari
  • Auricolari Bluetooth
  • Offerte e Sconti
  • Offerte Smart Band
  • Offerte Smartphone
  • Offerte Tech
2
Offerta