Nos últimos dias temos vindo a verificar várias informações relativamente à falha conhecida como “Log4Shell”, a qual afeta o componente de Java Log4J. Esta falha possui um largo impacto pela internet, sobretudo por ser bastante usada e a sua exploração ser relativamente simples de ser feita.
Quando explorada, a falha permite que código remoto possa ser executado nos sistemas, possivelmente comprometendo os mesmos. Como parte da proteção contra o bug, a Apache disponibilizou o Log4J 2.15.0, que era visto como a correção do problema... mas parece que mesmo assim não é suficiente.
Foi recentemente descoberto que a nova versão 2.15.0 do Log4J, que deveria resolver a vulnerabilidade, ainda pode conter formas de ser realizada a exploração. Ou seja, mesmo com o update mais recente disponível para o componente, este ainda se encontra de alguma forma vulnerável.
O caso começou por ser exposto no Github do projeto, onde foi confirmado que a versão mais recente ainda se encontra vulnerável a ataques. A boa notícia será que esta falha parece ter sido resolvida na versão 2.16.0, a qual ainda se encontra em desenvolvimento, mas espera-se que venha a ser fornecida em breve.
Para já, a recomendação principal continua a ser atualizar para a versão mais recente do Log4J, sseja a 2.15.0 ou a 2.16.0 quando estiver disponível.
Nenhum comentário
Seja o primeiro!