Rilevata una vulnerabilità in versioni non più supportate della nota libreria Apache log4j, che potrebbe permettere a un utente malintenzionato la possibilità di compromettere la disponibilità del servizio sui sistemi interessati.
La vulnerabilità, CVE-2023-26464, ha una stima sulla comunità di riferimento medio/giallo (61,92/100). La tipologia è Denial of Service.
“Quando si utilizzano i componenti Chainsaw o SocketAppender con Log4j 1.x su JRE inferiore a 1.7, un utente malintenzionato che riesce a causare una voce di registrazione che coinvolge una hashmap o una tabella hash appositamente predisposta (ad esempio, profondamente nidificata) (a seconda su quale componente di registrazione è in uso) da elaborare potrebbe esaurire la memoria disponibile nella macchina virtuale e ottenere un Denial of Service quando l’oggetto viene deserializzato. Questo problema riguarda Apache Log4j prima della 2. Si consiglia agli utenti interessati di eseguire l’aggiornamento a Log4j 2.x. NOTA: questa vulnerabilità interessa solo i prodotti che non sono più supportati dal manutentore”, comunica Apache.
Il CSIRT Italia dell’Agenzia per la Cybersicurezza Nazionale comunica che i prodotti e le versioni affette sono Apache Log4j precedenti alla 2.x. Inoltre, evidenzia che il prodotto risulta vulnerabile nel caso in cui sia configurato come indicato nel bollettino di sicurezza Apache.
Le azioni di mitigazione del CSIRT: per tutte le versioni della libreria Apache log4j precedenti alla 2.x il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL). Si raccomanda di aggiornare tale libreria alla versione 2.x più recente disponibile.
https://www.csirt.gov.it/contenuti/vulnerabilita-in-apache-log4j-al01-230313-csirt-ita
