Fundação Apache lança uma atualização urgente do Log4J
A Fundação Apache lançou mais uma atualização do utilitário Log4J-2: foi a versão 2.16, substituindo a anterior. Na versão 2.15, apenas um aspecto da funcionalidade de recuperação de mensagem do JNDI foi desabilitada por padrão.
Agora, na correção 2.16, é desativado todo o suporte JNDI por padrão, e removendo completamente o tratamento de consulta de mensagem. JNDI é uma API usada pelo Log4j para recuperar objetos de servidores remotos para uso em registros de log. Portanto, na versão 2.16.0, o JNDI está desabilitado. A informação é do portal Ciso Advisor.
A Java Naming and Directory Interface (JNDI) é um conjunto de APIs Java organizadas como um serviço de diretório que permite que clientes Java abram e visualizem dados e objetos por nome. Como qualquer outra API Java, como um conjunto de interfaces, JNDI é independente da implementação subjacente. Além disso, ele fornece uma implementação de interface do provedor de serviços (SPI) que permite que os serviços de diretório sejam emparelhados com uma estrutura.
O lançamento da segunda atualização foi necessário porque se descobriu que a versão 2.15 ainda pode ser explorada em certas configurações não originais. Este problema recebeu seu próprio identificador, que é o CVE-2021-45046.
A Fundação Apache reconheceu que o JNDI “tem sérios problemas de segurança”, então foi tomada a decisão de desativá-lo por padrão: “CVE-2021-44228 nos mostrou que JNDI tem sérios problemas de segurança. Embora tenhamos eliminado o que sabíamos, foi decidido desabilitá-lo completamente por padrão para maior segurança do usuário, especialmente porque a maioria das pessoas quase não o usa ”, disse a Apache.
Especialistas em segurança da informação, com o pesquisador sênior de Ameaças da Sophos, Sean Gallagher, observa que, agora, ‘ha uma calmaria antes da tempestade’, em termos de atividades maliciosas. Segundo ele, os cibercriminosos já tiveram o máximo de acesso a tudo que queriam, com o objetivo de monetizar e/ou capitalizar mais tarde. E adverte: é hora de os gestores de segurança reduzirem a exposição. “Essa vulnerabilidade pode estar em qualquer lugar”.
No mundo, mais da metade das redes corporativas sofreu com a vulnerabilidade. No Brasil, as redes do governo tiveram que fazer a atualização, sob a justificativa de ‘manutenção preventiva’.
