Bug+Log4Shell%2C+la+patch+risolutiva+aveva+anch%26%238217%3Bessa+una+vulnerabilit%C3%A0
cellulariit
/bug-log4shell-la-patch-risolutiva-aveva-anchessa-una-vulnerabilita/amp/
Non solo cellulari

Bug Log4Shell, la patch risolutiva aveva anch’essa una vulnerabilità

Published by
A. Roberto Finocchiaro

Una situazione paradossale e al limite del grottesco, eppure maledettamente reale. La patch che avrebbe dovuto chiudere il gravissimo bug Log4Shell era afflitta da un’altrettanto grave vulnerabilità

Continua a tener banco la questione Log4Shell (Unsplash)

Il fix alla vulnerabilità informatica conosciuta come Log4Shell finisce esso stesso oggetto delle mire espansionistiche degli hacker. Lo spiegano i ricercatori di Praetorian, secondo i quali l’aggiornamento che avrebbe dovuto mettere una pezza alla pesante vulnerabilità del programma di logging per Java Log4j contiene una falla di sicurezza e i cybercriminali starebbero già sfruttandola nei propri attacchi. Uno scherzo? Nient’affatto, anche perché a dimostrarlo è un video condiviso dagli stessi ricercatori, a riprova di una situazione alquanto ingarbugliata e tutt’altro vicina alla sua definizione.

Piove insomma sul bagnato dopo la scoperta di Log4Shell, una delle più gravi vulnerabilità attualmente esistenti nel panorama del web. La falla di sicurezza è stata scoperta una settimana addietro e ha di fatto aperto la strada al fenomeno di ransomware, rendendo la rete particolarmente sensibile ad attacchi hacker a danno dei server delle grandi aziende.

POTREBBE INTERESSARTI ANCHE >>> Pixel 6, problemi con Now Playing e Adele: l’incredibile testimonianza

Arriva in fretta e furia la versione 2.16.0 di Log4j rilasciata da Apache

Come riportato da Praetorian, il fix che avrebbe dovuto correggere le vulnerabiltà sarebbe infatti gravato da due problemi di fondo. Da un lato, innescherebbe un attacco Denial of Service (DoS) su alcune configurazioni, con la conseguenza di bloccare un intero sistema fino al reboot; dall’altro lato (e cosa ancor più grave), faciliterebbe il furto di dati sensibili ospitati dentro a un server, facendo leva su una stringa appositamente predisposta dai malintenzionati. Il tutto senza lasciar tracce o subire manovre ostruzionistiche.

Insomma, le falle di sicurezza della libreria Apache Log4j continuano a riecheggiare sul web, ma per fortuna la Apache Foundation ha provveduto a rilasciare tempestivamente una versione correttiva, la 2.16.0, per chiudere tutt’e due le magagne di sicurezza.

POTREBBE INTERESSARTI ANCHE >>> Il 2022 e il fenomeno dei cyberattacchi, tra ransomware, vulnerabilità zero-day e furto dati ai VIP

Stando a quanto riportato da alcuni ricercatori, pare peraltro che la precedente versione 2.15.0 di Log4j fosse incompleta in alcune configurazioni non di default. A questo punto, vale quindi il consiglio indirizzato ai gestori di server Apache di aggiornare il prima possibile all’ultima versione di Log4j.

Published by
A. Roberto Finocchiaro

Recent Posts

  • Guide

Hollyland MELO P1: La Recensione del Nuovo Studio Audio Portatile per Cantanti e Creatori

Scopri il nuovo Hollyland MELO P1, un microfono portatile che promette di essere uno studio…

11 ore ago
  • Guide

LG in Direzione di un Trimestre Record: Boom nelle Vendite di Elettrodomestici, TV e Settore Automotive

LG si avvicina al miglior trimestre della sua storia, grazie a un mix di elettrodomestici…

1 giorno ago
  • Guide

Instagram e WhatsApp: Fine della Cifratura dei DM, Quali Implicazioni per la Tua Privacy?

Questo articolo esplora le implicazioni sulla privacy del passaggio da Instagram a WhatsApp per le…

2 giorni ago
  • Guide

Galaxy S27 Ultra: un possibile aumento del 10% della batteria dopo anni di stallo

Il prossimo Galaxy S27 Ultra di Samsung potrebbe vantare un aumento del 10% della capacità…

3 giorni ago
  • Guide

Apple Sospende lo Sviluppo delle AirPods Ultra con Telecamera: Cosa Significa?

Apple avrebbe sospeso lo sviluppo delle AirPods Ultra con telecamera integrata, previste per il 2027.…

4 giorni ago
  • Guide

Streaming Pirata e Malware: Il Rischio Corso da Quasi un Utente su Cinque

Guardare contenuti su piattaforme non autorizzate può esporre i dispositivi a malware, phishing e furti…

5 giorni ago