Apache lança correção para nova falha do Log4J

E os problemas com o Log4j não param. Nesta quarta-feira (29), a Apache disponibilizou uma nova versão da biblioteca, 2.17.1, arrumando uma nova falha de execução de código remoto detectada na versão anterior, e registrada como CVE-2021-44832.

• Log4J | Banco de criptomoedas sofre ransomware e tem dados vazados
• Consumidores culpam empresas pela grande quantidade de golpes via e-mail

A falha, classificada como moderada, permite que invasores utilizem o Log4j para executar códigos maliciosos em máquinas remotamente. A vulnerabilidade foi descoberta pelo pesquisador de segurança Yaniv Nizry, que relatou para a Apache sua descoberta.

Nizry divulgou a descoberta na última terça-feira (28) pelo seu Twitter, porém sem nenhum detalhe, o que para muitos especialistas foi visto como um erro, já que poderia atiçar agentes maliciosos a procurarem na versão 2.17.0 do Log4J possíveis vulnerabilidades.

Porém, nesta quarta-feira (29), um relatório completo sobre a falha já foi publicado, disponibilizado no site da Checkmarx. A Apache, para proteção dos usuários, recomenda a atualização imediada do Log4J para a versão 2.17.1, que corrige a vulnerabilidade.

A crise do Log4J

A brecha no Log4J vem causando várias dores de cabeça no cenário de segurança virtual desde sua descoberta, no começo de dezembro, já que as falhas presentes no sistema de código aberto atingem centenas de aplicativos e programas pelo mundo.

Mesmo com constantes correções sendo lançadas, cada vez mais novas variações são descobertas, como citado logo acima, segundo dados da Check Point Research, já são mais de 4 milhões de incidentes registrados no mundo, com metade das redes empresarias do Brasil afetadas.

A situação é tão preocupante que o governo brasileiro optou por emitir um alerta sobre o perigo da falha, principalmente em relação ao roubo de criptomoedas.

Fonte: BleepingComputer