Popravek za Log4j potrebuje nov popravek

Varnostna ranljivost v knjižnici Log4j je še večji problem, kot je kazalo spočetka. Napadi na vse, kar vsaj diši po Javi, so preplavili svet in prisilili ameriško agencijo za kibernetsko obrambo (CISA), da razglasi ogroženost. Vsi ameriški organi morajo najpozneje do božiča posodobiti ranljivo programsko opremo, kar bo precejšen zalogaj. Log4j tiči marsikod, nameščen je lahko tudi, kjer ga ne pričakujejo.

Napadi se medtem množijo. Check Point jih zaznava že več kot sto na minuto. Hekerji z vsega sveta tipajo povsod. Trenutno luknjo uporabljajo za širjenje rudarske kode prek botnetov in za napade z izsiljevalskimi virusi. Celo v Sloveniji je Urad za informacijsko varnost razglasil povečano stopnjo ogroženosti, SI-CERT pa se je seveda odzval prvi.

Dasiravno je ranljivost prisotna v verzijah od 2.0 do 2.14.1, niti 2.15.0 ni varna. Sprva so jo priporočali kot ustrezno zdravilo, a sedaj vemo, da je v njem luknja le delno zakrpana. Na hitro so izdali še popravek popravka, tako da je sedaj treba nadgraditi na 2.16.0.

Zaradi razširjenosti knjižnice in aktivnega napadanja kode nas čakajo pestri tedni.