Da alcuni giorni, precisamente dal 9 dicembre scorso, c’è un panico informatico diffuso a proposito di Log4Shell, che secondo molti esperti è una delle falle di sicurezza più gravi di sempre e la
—-
Se vi state chiedendo come sia possibile un disastro del genere, per cui basta scrivere qualcosa in una casella di chat per attaccare un sito, la spiegazione è che Log4J è una libreria software, ossia una serie di istruzioni di programmazione, che viene usata da moltissime applicazioni, soprattutto nei computer collegati in rete. Serve a fare il cosiddetto logging, ossia a registrare tutto quello che avviene sui quei computer: per esempio quale utente ha fatto una certa cosa, quando l’ha fatta, da che dispositivo l’ha fatta, eccetera.
È una libreria libera e gratuita, per cui la possono usare tutti liberamente, e infatti la usano moltissime aziende.
Questa libreria ha un difetto: non controlla bene il contenuto dei dati che registra. Se un utente ostile fa in modo che nel log ci sia quella sequenza di caratteri che ho citato prima (per esempio la usa come nome del proprio telefonino oppure come User agent del proprio browser), Log4J riceve la sequenza e la interpreta come istruzioni da eseguire. Un errore classico e clamoroso, spiegato in dettaglio qui da Sophos.
Se volete saperne di più: LunaSec (anche qui), Minecraft.net (anche qui), Howtogeek, Ars Technica (anche qui e qui), Graham Cluley, Gizmodo, Sophos.
