Ultimo aggiornamento 3 anni fa
La vulnerabilità Log4Shell della libreria Apache Log4j potrebbe esporre miliardi di dispositivi ai Cyber attacchi. La gestione in Full Outsourcing della piattaforma DMP elimina l’onere degli aggiornamenti in merito.
CVE-2021-44228, comunemente chiamata Log4Shell, è la nota vulnerabilità che affligge la libreria java-based Log4j di Apache Software Foundation, dalla versione 2.0 alla 2.14.1 (mitigata versione 2.15). Grazie a una funzionalità del runtime Java chiamata JNDI, abbreviazione di Java Naming and Directory Interface, i comandi di Log4j racchiusi in particolari sequenze possono eseguire sia semplici sostituzioni di stringhe sia ricerche di runtime in tempo reale su server arbitrari, all’interno e all’esterno della tua rete.
La vulnerabilità Log4Shell consente all’hacker di creare una stringa di log che forza la libreria, con il tag JNDI, ad eseguire il codice ospitato su un altro sistema, fuori dal dominio dell’applicativo. È possibile, dunque, prendere il controllo remoto della macchina ed accedere ai dati senza necessità di autenticazione.
L’Apache Software Foundation ha rilasciato una correzione della libreria Log4j, disponibile in versione 2.16, che disabilita tutto il supporto JNDI per impostazione predefinita e rimuove completamente la gestione della ricerca dei messaggi.
Gestione in Full Outsourcing
La gestione delle infrastrutture informatiche in Full Outsourcing elimina l’onere di continui aggiornamenti e manutenzioni all’interno dei sistemi aziendali, spostando l’attenzione dei business su attività a valore aggiunto.
Dedicated offre DMP, una piattaforma di servizi digitali scalabile, integrata a SAP e flessibile nello sviluppo e nella distribuzione delle componenti grazie all’architettura a microservizi.
All’interno di una Virtual Private Network in Cloud, ciascun microservizio – corrispondente alle “funzioni” EDI, Peppol e E-Invoicing – è dedicato ad uno scopo e la tecnologia non risente di vincoli architetturali o lock-in. Ciò ci permette di garantire la sicurezza dei dati, la certezza delle transazioni e la riservatezza delle informazioni, quali requisiti cardine della continuità di servizio nelle funzioni strategiche aziendali.
Per maggiori informazioni, contattaci e seguici su LinkedIn.