Dopo Microsoft, anche Apache Software Foundation sta provvedendo a “vaccinare” i propri sistemi contro l’ormai famigerata vulnerabilità Log4Shell che ha messo in apprensione tutto il mondo di internet. La patch in questione è contenuta nella versione 2.15.0, che Apache invita ad installare il prima possibile, dato che l’exploit individuato come CVE-2021-44228 sta già circolando molto.
La vulnerabilità Log4Shell è stata scoperta qualche giorno fa nel gioco Minecraft, e precisamente all’interno di un’utility open source con linguaggio Java, Log4J, che viene spesso utilizzata anche da alcuni colossi come Apple, Amazon, Twitter e Tesla: viene infatti usata per effettuare un’analisi sui log di accesso ai web server e sulle applicazioni. Per gli hacker Log4Shell diventa uno strumento eccezionale, dato che consente di capire quali sono i server più vulnerabili e di conseguenza eseguire codice arbitrario.
Dato che Log4J è presente praticamente in quasi tutti i prodotti enterprise della Apache Software Foundation (e quindi su gran parte di internet), molte aziende tra quelle più importanti del settore tecnologico non possono dirsi al sicuro: basta questo per capire quanto questa problematica rischi di avere un impatto tutt’altro che banale su internet.
Per le versioni di Log4J dalla 2.10 in poi è necessario impostare a True la proprietà log4j2.formatMsgNoLookups o la variabile di ambiente LOG4J_FORMAT_MSG_NO_LOOKUPS, ma il consiglio è quello di scaricare subito la nuova versione che trovate sul sito di Apache.