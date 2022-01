Další problémy softwaru Apache: Log4j

Dne 28. prosince 2021 vydala nadace Apache Software Foundation bezpečnostní záplaty, které reagují na nově objevenou zranitelnost CVE-2021–44832; její skóre je 6,6/10. Je to už pátá zranitelnost odhalená v tomto softwaru v průběhu jednoho měsíce; opravené verze Log4j jsou 2.17.1 (Java 8), 2.12.4 (Java 7) a 2.3.2 (Java 6).

Pro informaci uvádíme přehlednou tabulku Log4j 2 Security Vulnerabilities Update Guide se seznamem dosud zveřejněných zranitelností ze dne 29. prosince 2021. V tabulce není uvedena zranitelnost CVE-2021–4104 pro Log4j 1.x, která je nyní součástí CVE-2021–44228; pro Log4 verzi 1.x už Apache žádné záplaty nedodává.

Logovací systém Log4j je velmi rozšířený, ale opravy softwaru, který využívá Log4j, postupují pomalu. 19. prosince ohlásili pracovníci firmy Google, že v největším a nejvýznamnějším úložišti Javy zvaném Maven Central užívá zranitelných verzí Log4j-core přes 17 tisíc balíčků.

Nové verze programů zranitelných kvůli Log4j ohlásily firmy Hewlett Packard Enterprise a NVIDIA; další firmy se k nim jistě brzy připojí. Pokud si nejste jisti, zda váš projekt nevyužívá zranitelného Log4j, můžete použít např. Log4j Detect z GitHubu. Zde je detailní návod.

V souvislosti s první objevenou zranitelností CVE-2021–44228 je užitečné vědět, že ji objevil pracovník Alibaba Cloud Security Team Chen Zhaojun, který ji (správně) ohlásil firmě Apache. To se ale nelíbilo čínské vládě, které vadí, že tuto zranitelnost nejprve neohlásil čínským úřadům; tamější Ministerstvo průmyslu a informační techniky za to potrestá firmu Alibaba Group Holding: po dobu šesti měsíců s ní přeruší spolupráci v oboru sdílení bezpečnostních informací; pak se uvidí.

Zranitelný je i Apache HTTP server

Nejnovější verze 2.4.52 Apache HTTP serveru zveřejněná 20. prosince odstraňuje dvě nově detekované zranitelnosti: CVE-2021–44224 (skóre 8,2/10) a CVE-2021–44790 (9,8/10).

Zranitelný DataVault

DataVault je šifrovací software firmy ENC Security; je rozšířený, vhodný pro USB disky, pevné disky, zařízení NAS, media CD a DVD, počítače i služby v cloudu. Užívají ho např. firmy Western Digital, Sony a Lexar. Výzkumný pracovník Sylvain Pelissier zjistil, že DataVault obsahuje závažné zranitelnosti CVE-2021–36750 a CVE-2021–36751, které mohou útočníkovi pomoci snadno zjistit uživatelovo heslo. Firmy Sony a Western Digital už zareagovaly, Lexar zatím ne.

Světlo na konci tunelu: projekt IoT SAFE

V současnosti existuje 12 miliard zařízení typu IoT – Internet of Things, o kterých je známo, že jsou obvykle velmi špatně zabezpečena před zneužitím: buď nemají žádné zabezpečení, nebo používají implicitních hesel, která jsou dobře známa nebo která lze bez větších problémů zjistit a pak prodat na černém trhu. Taková zařízení se pak typicky zneužívají k rozsáhlým útokům typu DDoS.

Tento neutěšený stav by měl změnit projekt IoT SAFE (IoT SIM Applet for Secure End-2-End Communication) firmy Orange. Vychází z toho, že karty SIM a eSIM jsou odolné proti fyzickým i softwarovým útokům na úrovni srovnatelné s platebními kartami, a většina zařízení IoT už SIM karty obsahuje.

Podle tohoto popisu síťový operátor vzdáleně nainstaluje na nově připojené zařízení IoT potřebný applet, který tam vygeneruje privátní i veřejný klíč, a veřejný klíč pošle na server operátora. Ten pro klienta vygeneruje nový certifikát, který pošle na zmíněné zařízení IoT; to pak může zahájit zabezpečenou i autentizovanou komunikaci. – Pokud by bylo zařízení zkompromitováno, vygeneruje pro ně síťový operátor nové přihlašovací údaje a opět mu je pošle po síti.

Na servery Hewlett Packard Enterprise útočí i rootkit iLOBleed

ILO (Integrated Lights-Out) je technologie užívaná ke vzdálené správě serverů HP popsaná např. na Wikipedii. Pracovníci íránské bezpečnostní firmy Amnpardaz zveřejnili 28. prosince informaci o rootkitu, který se už běžně používá (in the wild) a který využívá zranitelnosti iLO jménem iLOBleed. Systém iLO (a tedy i iLOBleed) umožňuje prakticky libovolný zásah do serveru HP včetně např. vzdáleného zapnutí a vypnutí.

Reakce firmy Hewlett Packard zatím není známa.

Ve zkratce

