Patch Log4Shell tidak lengkap, perbaikan baru dikeluarkan – Keamanan – Perangkat Lunak
Technology

Patch Log4Shell tidak lengkap, perbaikan baru dikeluarkan – Keamanan – Perangkat Lunak

Patch baru yang mendesak untuk library logging Java log4j yang ada di mana-mana telah dirilis, karena patch sebelumnya yang dianggap menangani kerentanan Log4Shell yang kritis ternyata tidak lengkap.

Saat ini, kerentanan Log4Shell yang memungkinkan eksekusi kode jarak jauh dan kebocoran informasi berkat pencarian direktori dan sistem nama domain selama operasi pencatatan sedang dieksploitasi secara luas dalam sistem yang rentan.

Perbaikan awal untuk Log4Shell, versi 2.15.0, ditemukan tidak mengatasi semua masalah dalam konfigurasi non-default dan dapat disalahgunakan untuk serangan penolakan layanan melalui input berbahaya.

Versi 2.16.0 sekarang menghapus dukungan untuk pola pencarian pesan, dan menonaktifkan fungsionalitas Java Naming and Directory (JNDI) secara default.

Pengguna dengan rilis sebelum 2.16.0 juga dapat mengurangi masalah yang disebutkan di atas dengan menghapus kelas Java Jndilookup dari jalur yang dicari oleh kerangka kerja pengembangan aplikasi.

Kerentanan Log4Shell sedang digunakan untuk menanam penambang cryptocurrency dan ransomware saat ini, dan juga digunakan untuk membocorkan variabel lingkungan pada layanan cloud yang belum ditambal.

Ini diyakini sebagai salah satu kerentanan paling serius yang ditemukan dalam beberapa tahun terakhir, dan telah ada di log4j sejak 2013 ketika ditambahkan ke pustaka logging sebagai permintaan fitur.


Posted By : pengeluaran hk hari ini 2021