Apache tampaknya tidak dapat berhenti dengan utilitas logging Log4j berbasis Java, karena kerentanan utama ketiga kini telah ditemukan.
Pada hari Jumat, Apache Software Foundation (ASF) menerbitkan pengumuman yang menjelaskan bahwa cacat yang baru ditemukan telah diperbaiki. Organisasi juga mendesak semua pengguna untuk segera memperbarui ke versi terbaru dari logger.
Singkatnya, cacatnya adalah kesalahan rekursi tak terbatas, yang mengakibatkan kondisi DoS pada server yang terpengaruh. Berikut cara ASF menjelaskan masalah ini:
“Apache Log4j2 versi 2.0-alpha1 hingga 2.16.0 tidak melindungi dari rekursi tak terkendali dari pencarian referensi diri. Saat konfigurasi logging menggunakan Tata Letak Pola non-default dengan Pencarian Konteks (misalnya, $${ctx:loginId}), penyerang dengan kontrol atas data masukan Peta Konteks Thread (MDC) dapat membuat data masukan berbahaya yang berisi pencarian rekursif , menghasilkan StackOverflowError yang akan menghentikan proses. Ini juga dikenal sebagai DOS (Denial of Service (terbuka di tab baru)) menyerang.”
Versi terbaru dari Log4j (2.17.0) dapat ditemukan di Link ini (terbuka di tab baru), dan pengguna disarankan untuk menginstalnya di mana pun mereka menjalankan Log4j. Mereka yang tidak dapat menambal perangkatnya juga dapat menggunakan salah satu dari solusi sementara ini:
- Di PatternLayout dalam konfigurasi logging, ganti Context Lookup seperti ${ctx:loginId}or $${ctx:loginId} dengan pola Thread Context Map (%X, %mdc, atau %MDC).
- Dalam konfigurasi, hapus referensi ke Pencarian Konteks seperti ${ctx:loginId} atau $${ctx:loginId} yang berasal dari sumber di luar aplikasi seperti header HTTP atau masukan pengguna.
Ancaman terbesar dalam beberapa tahun
Utilitas Log4j telah menjadi pusat badai media selama dua minggu terakhir, setelah ditemukannya cacat besar yang menempatkan jutaan titik akhir (terbuka di tab baru) berisiko pencurian data.
Minggu lalu, Jen Easterly, direktur Badan Keamanan Siber dan Infrastruktur AS (CISA) menggambarkannya sebagai “salah satu kelemahan paling serius” yang dia lihat sepanjang kariernya, “jika bukan yang paling serius”.
“Kami memperkirakan kerentanan akan dieksploitasi secara luas oleh aktor-aktor canggih dan kami memiliki waktu terbatas untuk mengambil langkah-langkah yang diperlukan untuk mengurangi kemungkinan kerusakan,” jelas Easterly.
Itu dilacak sebagai CVE-2021-44228, dan memungkinkan aktor jahat menjalankan hampir semua kode. Keterampilan yang dibutuhkan untuk memanfaatkan kelemahan tersebut sangat rendah, para ahli telah memperingatkan, mendesak semua orang untuk menambal Log4j secepat mungkin.
Cacat tersebut dibandingkan dengan masalah tahun 2017 yang menyebabkan peretasan Equifax, yang memperlihatkan data pribadi hampir 150 juta orang terungkap.
Kerentanan asli ini telah diperbaiki di Log4j versi 2.15.
Melalui Daftar (terbuka di tab baru)