U
Utente cancellato 52895
Offline
Si comunica che, a seguito della falla Log4J e relativa vulnerabilità, il reparto tecnico del Forum di SpazioGames ha deciso di operare per una patch 0day.
Cos'è successo?
Una nuova vulnerabilità, soprannominata Log4Shell, nella libreria Log4J di Java consente attacchi di tipo Remote Code Execution (CVE, Esecuzione di Codice Remoto).La tipologia di questo attacco è classificata come critica e, pertanto, è richiesta l'immediata risoluzione del problema (0day, 0 giorni per patchare).
Rischi per il forum
Al momento sono esclusi rischi per il forum, tuttavia quest'ultimo utilizza Elasticsearch che si basa su Java.Elasticsearch funge da "engine" per la memorizzazione di informazioni della board, soprattutto di dati statistici.
Cosa è stato fatto
È stata applicata la correzione di patch per risolvere il bug.Cosa implica agli utenti
Nulla, gli utenti non si accorgeranno neanche di questo aggiornamento.Tuttavia, per motivi precauzionali, Elasticsearch è stato completamente reinstallato e tutti i nodi di quest'ultimo svuotati.
Ciò significa che, per ripopolare tali nodi, è necessario effettuare un riconteggio di tutte le attività (mi piace, messaggi etc...), che potrà richiedere qualche ora.
Inoltre può influire negativamente sulle statistiche di alcuni utenti che, nel tempo, hanno "perso" messaggi per varie cause (eliminazioni thread).
Nessun dato presente nel database verrà comunque alterato, dunque i dati sono integri.
I miei dati sono a rischio?
Allo stato attuale la superficie d'attacco del Forum per questa vulnerabilità è insignificante, per cui riteniamo non esserci rischi per la sicurezza degli utenti.Tuttavia non si esclude che altri siti in rete possano essere vulnerabili.
Per una maggiore sicurezza della vostra identità digitale vi invitiamo come sempre a:
- Utilizzare password diverse per ogni account, magari aiutandosi con Gestori Password
- Attivare l'autenticazione a due fattori laddove i siti e le applicazioni lo consentano (QUI PER IL FORUM)