UFFICIALE LOG4J e Ricalcolo Contatori

Stefano Novelli

Amministratore
Staff Forum
4,249
5,142
Apache-Log4j-Logo.jpg

Si comunica che, a seguito della falla Log4J e relativa vulnerabilità, il reparto tecnico di Tom's Hardware ha deciso di operare per una patch 0day.

Cos'è successo?

Una nuova vulnerabilità, soprannominata Log4Shell, nella libreria Log4J di Java consente attacchi di tipo Remote Code Execution (CVE, Esecuzione di Codice Remoto).
La tipologia di questo attacco è classificata come critica e, pertanto, è richiesta l'immediata risoluzione del problema (0day, 0 giorni per patchare).

Rischi per il forum

Al momento sono esclusi rischi per il forum, tuttavia quest'ultimo utilizza Elasticsearch che si basa su Java.
Elasticsearch funge da "engine" per la memorizzazione di informazioni della board, soprattutto di dati statistici.

Cosa è stato fatto

È stata applicata la correzione di patch per risolvere il bug.

Cosa implica agli utenti

Nulla, gli utenti non si accorgeranno neanche di questo aggiornamento.
Tuttavia, per motivi precauzionali, Elasticsearch è stato completamente reinstallato e tutti i nodi di quest'ultimo svuotati.

Ciò significa che, per ripopolare tali nodi, è necessario effettuare un riconteggio di tutte le attività (mi piace, messaggi etc...), che potrà richiedere qualche ora.

Inoltre può influire negativamente sulle statistiche di alcuni utenti che, nel tempo, hanno "perso" messaggi per varie cause (eliminazioni thread).
Nessun dato presente nel database verrà comunque alterato, dunque i dati sono integri.

I miei dati sono a rischio?

Allo stato attuale la superficie d'attacco del Forum di Tom's Hardware e dei servizi collegati (vedi Forum Spaziogames) per questa vulnerabilità è insignificante, per cui riteniamo non esserci rischi per la sicurezza degli utenti.
I primi test preliminari d'attacco hanno dato esito negativo.

Tuttavia non si esclude che altri siti in rete possano essere vulnerabili: ci aspettiamo nel prossimo futuro un grande leak di dati che potrebbero danneggiare la vostra utenza, compresa quella in Tom's Hardware e/o Spaziogames.

Per una maggiore sicurezza della vostra identità digitale vi invitiamo come sempre a:
  • Utilizzare password diverse per ogni account, magari aiutandosi con Gestori Password
  • Attivare l'autenticazione a due fattori laddove i siti e le applicazioni lo consentano (qui per il forum)
 
Ultima modifica:

Entra

oppure Accedi utilizzando