/ricerca/ansait/search.shtml?tag=
Mostra meno

Se hai scelto di non accettare i cookie di profilazione e tracciamento, puoi aderire all’abbonamento "Consentless" a un costo molto accessibile, oppure scegliere un altro abbonamento per accedere ad ANSA.it.

Ti invitiamo a leggere le Condizioni Generali di Servizio, la Cookie Policy e l'Informativa Privacy.

Puoi leggere tutti i titoli di ANSA.it
e 10 contenuti ogni 30 giorni
a €16,99/anno

  • Servizio equivalente a quello accessibile prestando il consenso ai cookie di profilazione pubblicitaria e tracciamento
  • Durata annuale (senza rinnovo automatico)
  • Un pop-up ti avvertirà che hai raggiunto i contenuti consentiti in 30 giorni (potrai continuare a vedere tutti i titoli del sito, ma per aprire altri contenuti dovrai attendere il successivo periodo di 30 giorni)
  • Pubblicità presente ma non profilata o gestibile mediante il pannello delle preferenze
  • Iscrizione alle Newsletter tematiche curate dalle redazioni ANSA.


Per accedere senza limiti a tutti i contenuti di ANSA.it

Scegli il piano di abbonamento più adatto alle tue esigenze.

Bug informatico Log4Shell, anche la soluzione ha una falla

Bug informatico Log4Shell, anche la soluzione ha una falla

Da Apache nuovo aggiornamento 2.16.0 risolve problemi precedenti

MILANO, 20 dicembre 2021, 11:58

Redazione ANSA

ANSACheck

- RIPRODUZIONE RISERVATA

- RIPRODUZIONE RISERVATA
- RIPRODUZIONE RISERVATA

L'aggiornamento che doveva bloccare la vulnerabilità informatica Log4Shell, su cui la scorsa settimana ha lanciato un allarme anche l'agenzia italiana per la cybersicurezza, è vittima a sua volta di una falla che gli hacker stanno già sfruttando. Lo dicono in ricercatori di Praetorian che hanno rilasciato anche un video per dimostrarlo.

Il problema è duplice: il primo permette su alcune configurazione l'esecuzione di un attacco in stile DDoS, ovvero un tipo di minaccia in grado di bloccare un intero sito web o un sistema. il secondo è ancora più serio, perché facilita il prelievo dei dati contenuti su un server vulnerabile senza alcun permesso e senza lasciare traccia. Sarebbe questo il motivo secondo cui la Apache Software Foundation, che gestisce il codice della libreria informatica interessata dal bug Log4Shell, ha rilasciato a distanza di pochi giorni l'aggiornamento Java Log4J 2.16.0, che sembra essere esente dall'ulteriore problematica.

Gli specialisti di Praetorian e della compagnia di sicurezza Cloudflare, hanno spiegato che gli amministratori di sistemi e server devono aggiornare dal pacchetto precedente, 2.15.0, per essere sicuri di proteggersi dall'eventuale intrusione di terzi nelle loro reti. Log4j è uno strumento di monitoraggio che crea file di registro dei server, incluso su molti servizi di caratura globale, come Amazon e Twitter. Il 10 dicembre è emersa la possibilità di sfruttare un bug nel codice per indurre una macchina a eseguire comandi non autorizzati, anche per infettare l'intera rete locale a cui è collegata. La Apache Foundation aveva rilasciato subito dopo la notizia una versione correttiva, superata poi da quella più recente.
   

Riproduzione riservata © Copyright ANSA

Da non perdere

Condividi

O utilizza