- Amministrazione aperta
- Open Data e Trasparenza
- Governo aperto
- Innovazione
Miglioramento continuo dell’Indice di Maturità Digitale: come andare avanti?
Una vulnerabilità che interessa la Java Apache Log Library è stata rilasciata il 10 dicembre 'Log4j 2', uno strumento sviluppato dalla Apache Foundation che aiuta gli sviluppatori di software a scrivere messaggi di registro il cui scopo è registrare una particolare transazione in fase di esecuzione. Inoltre, Log4j consente di filtrare i messaggi per importanza.
'Log4j 2' è un sistema di registrazione molto comune utilizzato dagli sviluppatori di applicazioni Web e dai server basati su Java e altri linguaggi di programmazione. Di conseguenza la vulnerabilità interessa un'ampia gamma di servizi e applicazioni, comprese le applicazioni aziendali e i servizi cloud.
Il pericolo rappresentato da questa vulnerabilità è quello l'attaccante può esplodere-l'invio di un codice dannoso che finirà per essere registrato da Log4j e darà all'attaccante l'accesso al sistema, che sarà in grado di eseguire il codice in remoto.
Azioni
Il CCN-CERT ha emesso un avviso il 10 dicembre con un indicatore di livello critico di pericolo, dopo che la vulnerabilità è diventata nota quando è stata segnalata da un ingegnere della sicurezza informatica su github il 9 dicembre, con diverse ondate di raccomandazioni il 10 e 13 dicembre.
Per adottare le misure di verifica, contenimento ed eradicazione ritenute appropriate, l'Agenzia catalana per la sicurezza informatica offre una serie di raccomandazioni che sono incluse nel Bollettino sulla sicurezza informatica "Vulnerabilità di Log4J".
Il SGAD, in relazione ai propri sistemi, ha identificato i sistemi e le applicazioni interessati e ha adottato misure prioritarie di mitigazione, aggiornamenti e adeguamenti della configurazione. Il SGAD si è rivolto ai contatti COCS-CDTIC chiedendo l'applicazione delle raccomandazioni indicate da CCN-CERT per mitigare la vulnerabilità e affinché il SGAD fosse informato delle azioni intraprese.