Die noodpleister vir die berugte kwesbaarheid in die Java-biblioteek Log4j is nie onfeilbaar nie. Die Apache Software Foundation stel 'n nuwe weergawe vry om die kwesbaarheid eens en vir altyd reg te stel.
'n Kwesbaarheid in 'n baie gewilde biblioteek vir Java skud die globale IT-landskap. Daar word beraam dat die biblioteek in die meeste korporatiewe omgewings bestaan.
Log4j word hoofsaaklik gebruik vir aanteken. Gebeurtenisse in aansoeke kan met notas geregistreer word. Dink aan 'n uitdruk van die aanmeldbesonderhede na 'n aanmeldpoging. Of, in die geval van 'n webtoepassing in Java, die naam van die blaaier waaraan 'n gebruiker probeer koppel.
Laasgenoemde voorbeelde is algemeen. In beide gevalle beïnvloed 'n eksterne gebruiker die logboek wat Log4j uitvoer. Dit is moontlik om daardie invloed te misbruik. Die logs van enige Log4j-weergawe tussen 13 September 2013 en 5 Desember 2021 kan Java-toepassings opdrag gee om die kode vanaf 'n afgeleë bediener op 'n plaaslike toestel te laat loop.
Sedert 2013 verwerk Log4j 'n API: JNDI, of Java Naming and Directory Interface. Die byvoeging van JNDI laat 'n Java-toepassing toe om kode vanaf 'n afgeleë bediener op 'n plaaslike toestel uit te voer. Programmeerders gee opdrag deur 'n enkele reël besonderhede oor die afgeleë bediener in 'n toepassing by te voeg.
Die probleem is dat nie net programmeerders die reël by toepassings kan voeg nie. Gestel Log4j teken die gebruikersname van aanmeldpogings aan. Wanneer iemand die bogenoemde reël in die gebruikernaam-veld invoer, loop Log4j die reël en die Java-toepassing interpreteer 'n opdrag om die kode op die gespesifiseerde bediener uit te voer. Dieselfde geld vir gevalle waar Log4j 'n HTTPS-versoek aanteken. As jy 'n blaaiernaam na die lyn verander, loop Log4j die lyn en gee dit indirek opdrag om kode te laat loop soos verlang.
Noodpleister kan ook onveilig wees
Op 9 Desember het die kwesbaarheid op groot skaal aan die lig gekom. Die Apache Software Foundation, ontwikkelaar van Log4j, het 'n noodpleister (2.15) vrygestel om die kwesbaarheid reg te stel. Sedertdien was dit 'n topprioriteit vir sagtewareverkopers om weergawe 2.15 te verwerk en 'n pleister vir organisasies te verskaf.
Veiligheidsorganisasie LunaSec meld egter dat die pleister nie heeltemal waterdig is nie. Dit bly moontlik om 'n instelling aan te pas en aangetekende JNDI-opdragte te laat uitvoer.
Neem asseblief kennis: die betrokke instelling moet met die hand aangepas word, sodat ongewysigde variante van 2.15 wel veilig is. Nietemin beveel Luna Sec aan dat verskaffers en organisasies opdateer na Log4j 2.16. 2.16 is gepubliseer deur Apache Software Foundation in reaksie op LunaSec. Die nuwe weergawe verwyder die kwesbare instelling heeltemal, wat dit onmoontlik maak om die voorwaardes vir misbruik te skep.