Log4j è una soluzione Open Source basata sul linguaggio Java, implementata dalla Apache Software Foundation e molto utilizzata dagli sviluppatori per il debugging delle applicazioni, essa presenta diverse funzionalità dedicate alla gestione dei log. Ora una sua vulnerabilità sembrerebbe spianare la strada all’esecuzione di codice malevolo creando diversi rischi per numerose infrastrutture tecniche.
L’esistenza di questo rischio sarebbe stata resa nota grazie alle segnalazioni di alcuni utenti del videogame Minecraft, in sostanza la falla 0-day presente nella libreria permetterebbe di eseguire del codice da remoto sia sui server del gioco che sui client collegati a quest’ultimo. Fortunatamente si tratta di una problematica risolvibile tramite l’applicazione di una patch.
Log4j è però utilizzato in migliaia di applicazioni e alcune di esse vengono impiegate a loro volta per lo sviluppo di altre piattaforme, basti pensare all’enterprise search platform Apache Solr, al Web application framework Struts2, allo stream-processing e batch-processing framework Flink nonché al datastore distribuito Druid alla base di molte applicazioni per l’analytics.
Come segnalato da alcuni esperti di sicurezza, la vulnerabilità scoperta in Log4j non è l’unico rischio di cui tenere conto, non di rado infatti questa libreria è associata a servizi basati su versioni di Java ormai obsolete e ciò potrebbe creare dei problemi nel caso in cui si voglia applicare le patch che verranno rilasciate per la chiusura della falla.
Log4j dovrebbe ricevere un aggiornamento in grado di correggere il bug che potrebbe essere sfruttato da utenti malintenzionati, ad oggi però tale upgrade è ancora in fase di release candidate. Alcune aziende come Apple avrebbero già proceduto a creare le proprie patch ma ci vorrà sicuramente un po’ di tempo prima che l’allarme generatosi intorno alla libreria possa rientrare.