NVD (National Vunerability Database) to system zarządzany przez rząd Stanów Zjednoczonych. Jest to ogromna baza danych zawierająca informacje o wszystkich podatnościach systemów informatycznych, języków programowania czy ogólnodostępnych aplikacji. Ostatnio wpłynął do niej bardzo niebezpieczny wpis. CVE-2021-44228, bo pod taką nazwą został sklasyfikowany, opisuje podatność języka Java wraz ze wszystkimi napisanymi z jej pomocą aplikacji. Chodzi konkretnie o bardzo chętnie używaną bibliotekę log4j.
Sam błąd działa w mniej więcej następujący sposób: Atakujący, wykorzystując odpowiednie polecenie, sprawia, że serwer hostujący na przykład stronę internetową zapisuje w logach specjalnie przygotowany przez atakującego fragment kodu. Fragment ten zawiera instrukcję dla biblioteki log4j, która usiłuje pobrać plik z dołączonego do instrukcji linku. Po pomyślnym pobraniu następuje uruchomienie pobranego skryptu, a ten, jako że został uruchomiony przez bibliotekę log4j, posiada uprawnienia administratora.
Java – kto jest zagrożony luką bezpieczeństwa?
Problem spowodowany podatnością oznaczoną CVE-2021-44228 jest bardzo poważny, głównie ze względu na fakt, że działa na Javie. Jest to uniwersalny język programowania stosowany zazwyczaj w aplikacjach pracujących na Windowsie czy Androidzie, ale również na stronach internetowych.
AMD poinformowało, że wszystkie wspierane przez nich programy są odporne na lukę w systemie log4j. Co nie zmienia faktu, że firma zapowiedziała natychmiastowe kroki w celu rozwiązania problemu i udzielania pomocy innym korporacjom. Sytuacja oprogramowania wspieranego przez Intela jest nieco gorsza. Co najmniej 9 programów rozwijanych przez tego producenta jest zagrożonych. Mowa między innymi o technologii Intel Datacenter Manager oraz Intel System Studio.
NVIDIA oraz Microsoft nie poinformowali dotychczas, jakie wspierane przez nich programy są zagrożone atakiem ze strony nowego, poważnego błędu w Javie. Ich sytuacja zdaje się być trochę lepsza od sytuacji konkurencji, ponieważ sam Microsoft opiera większość swoich wewnętrznych systemów na autorskiej technologii dotNET.
Jeśli wspominamy o Javie i stworzonych za jej pomocą aplikacjach i grach, nie możemy zapomnieć o Minecrafcie. Twórcy poinformowali na swojej stronie, jak zabezpieczyć serwer Minecraft. Warto wspomnieć, że luka ta nie zagraża serwerom działającym na najnowszej wersji 1.18.
Kiedy problem zostanie rozwiązany?
Aktualnie National Vunerability Database nie podaje daty finalnego rozwiązania tego problemu. Organizacja informuje, że każdy powinien zaktualizować wszystkie posiadane biblioteki współdziałające z log4j do najnowszej wersji. Twórcy samej technologii zapowiedzieli w najbliższym czasie naprawienie wadliwie działającej instrukcji, co powinno uchronić wiele systemów przed przejęciem i uszkodzeniem.
