Nhóm Amazon Linux đang tư vấn cho khách hàng của mình về một lỗ hổng nghiêm trọng ảnh hưởng đến các máy chủ Linux. Amazon Linux 2 là một hệ điều hành Linux từ Amazon Web Services (AWS). Nó cung cấp một hệ điều hành tập trung vào bảo mật, ổn định và hiệu suất cao để phát triển và chạy các ứng dụng cloud.
Vào năm 2021, các lỗ hổng nghiêm trọng trong gói Java log4j đã được công bố ảnh hưởng đến Apache Log4j2, một công cụ ghi nhật ký dựa trên Java nhưng tác động mạnh nhất trong số này là CVE-2021-44228, còn được gọi là log4shell.
Để khắc phục các lỗ hổng trên, Amazon đã phát hành bản vá lỗi cho Apache Log4j. Amazon đã công bố hotpatch có tên là “Amazon Linux package called log4j-cve-2021-44228-hotpatch”.
Vào tháng 4 năm 2022, Yuval Avrahami đã báo cáo rằng hotpatch này dễ bị ảnh hưởng bởi các tác động khác nhau bao gồm leo thang đặc quyền local và tấn công container. Việc bỏ qua Hotpatch mà Justin tìm thấy là do đọc đường dẫn đến tệp nhị phân của tiến trình “Java” trước khi trích xuất EUID / EGID. Điều này có nghĩa là quá trình vá lỗi cho phép truy xuất đến file binary do hacker kiểm soát sau đó đọc đọc EUID / EGID đặc quyền cao hơn khi tấn công thành công.
Theo chuyên gia, các phiên bản của gói hotpatch Apache Log4j trước log4j-cve-2021-44228-hotpatch-1.3-5 có thể dẫn đến leo thang đặc quyền cục bộ.
Apache Log4j Hotpatch không thay thế cho việc cập nhật lên ít ảnh hưởng bởi CVE-2021-44228 hoặc CVE-2021-45046, nó cung cấp một giảm thiểu tạm thời cho CVE-2021-44228 bằng cách vá nóng các máy ảo Java cục bộ. Để làm như vậy, tập lệnh hotpatch duyệt tất cả các quy trình Java đang chạy, thực hiện một số kiểm tra và thực thi máy ảo Java với các quyền và khả năng giống như quy trình đang chạy để tải hotpatch.
Tính đến thời điểm hiện tại, chưa có CVE nào về lỗi này nhưng Amazon đã đưa ra giải pháp khắc phục. Nhóm Amazon đã phát hành log4j-cve-2021-44228-hotpatch-1.3-5 cố gắng ngăn chặn các hành động tấn công của hacker đến khách hàng của họ. Người dùng nên cập nhật log4j-cve-2021-44228-hotpatch-1.3-5.
Theo https://www.securitynewspaper.com/