Dall’inizio di dicembre 2021 tutto il mondo tech, da Google a Tesla passando per Cisco a Mars Rover, è stato messo in allarme da una vulnerabilità chiamata Log4j. Apache Log4j Library (conosciuto anche come Log4Shell) è una libreria Open Source tra le più popolari e utilizzata in moltissime applicazioni. Come dice il termine stesso, Log4j viene utilizzata dagli amministratori di sistema in back-end per fare logging.
Il 9 dicembre 2021 è stata scoperta una grave vulnerabilità di questa libreria:dalla versione 2.15 in giù, è possibile modificare programmaticamente il log degli eventi inserendo stringhe formattate in modo da richiamare contenuti esterni. Questo ha reso possibile manipolare da parte di terzi i messaging log o alcuni suoi parametri, ed essere così in grado di eseguire codice.
È giusto chiedersi se anche il mondo IBM i è stato coinvolto da questa vera e propria apocalisse informatica. Nonostante la nota affidabilità e sicurezza dei sistemi Power, dobbiamo ricordarci che IBM i non garantisce un livello di sicurezza adeguato se il sistema non viene opportunamente aggiornato, ne abbiamo parlato approfonditamente in questo articolo, e soprattutto se sono in uso applicazioni nostre, o di terze parti, che utilizzano librerie open source, come Log4j.
Per questo motivo, suggeriamo la lettura di una guida pratica messa a punto da Roberto De Pedrini, IBM Champion e Founder di Faq400, la community dedicata al mondo IBM i, che spiega come la vulnerabilità Log4j impatta sul mondo IBM i e quali sono le best practices per mettere in sicurezza le proprie applicazioni.