يستمر تأثير الثغرة الأمنية سيئة السمعة في مكتبة Java Log4j. على الرغم من أنه تم حل المشكلة الأكبر باستخدام التصحيح العاجل 2.16 ، إلا أن هذا الإصدار يبدو أيضًا عرضة للإساءة. وجد باحثو الأمن مدخلاً لهجمات رفض الخدمة (DoS). تم نشر Log4j 2.17 لإغلاق الإدخال.
ينصح Apache ، مطور مكتبة Java ، المؤسسات بتطبيق تصحيح الطوارئ. تنطبق هذه النصيحة للمرة الثالثة منذ أن تبين أن المكتبة معرضة للخطر.
قبل أسبوع ونصف ، باحثون أمنيون من علي بابا cloud كشف فريق الأمن عن طريقة لإساءة استخدام التطبيقات مع Log4j. يتم استخدام Log4j في التطبيقات لتسجيل الأحداث. اتضح أنه من الممكن الوصول إلى التطبيقات مع المكتبة من الخارج بإرشادات لتنفيذ البرامج الضارة. يستغرق الإساءة أكثر بقليل من الخاطفه. أضف إلى ذلك الحدوث المقدر للمكتبة في معظم بيئات الشركات وستفهم حجم الكارثة التي تواجه مشهد تكنولوجيا المعلومات العالمي.
يستخدم مطورو البرامج مثل Fortinet و Cisco و IBM وعشرات الآخرين المكتبة في برامجهم. عمل مطوروها ساعات إضافية خلال عطلة نهاية الأسبوع في 11 ديسمبر لمعالجة أول تصحيح طارئ للثغرة الأمنية وتسليمها إلى مؤسسات المستخدمين. بالضبط نفس الانجراف كان متوقعًا من فرق تكنولوجيا المعلومات داخل هذه المنظمات. وقعت مئات الآلاف من محاولات الهجوم في جميع أنحاء العالم. كان على الجميع التبديل إلى 2.15 في أقرب وقت ممكن - حتى تم اكتشاف أن 2.15 أيضًا معرضة للخطر.
بقيت تكوينات معينة للمكتبة ممكنة في الإصدار 2.15. أدى استخدام هذه التكوينات إلى استمرار الثغرة الأمنية. جعل الإصدار 2.16 التكوينات مستحيلة ، مما يضمن تصحيحًا جديدًا. غالبًا ما يثير استياء فرق تكنولوجيا المعلومات المنهكة بالفعل. ومع ذلك ، يمكن أن يكون دائمًا أسوأ ، لأن 2.16 يعاني أيضًا من مرض.
العودة إلى البداية
أدى الاهتمام العالمي الهائل بالمشكلة إلى تحقيق واسع النطاق في جميع أنحاء العالم. يبدو أن أباتشي ، مطور المكتبة ، لا يمكنه التقاط أنفاسه لمدة يومين دون أن تشير شركة أمنية إلى مشكلة جديدة وملحة.
باختصار ، اتضح أنه من الممكن تشغيل عشرات الإصدارات من log4j - بما في ذلك 2.16 - مع سطر واحد (سلسلة) لبدء حلقة أبدية تعطل التطبيق. الشروط التي يجب أن تفي بها البيئة من أجل التعرض لسوء المعاملة واسعة النطاق. واسعة النطاق لدرجة أن الجدية العملية للمشكلة محل نزاع. يُنصح بالتصحيح رسميًا ، لكن لم يقتنع الجميع بذلك.
مرة أخرى ، ليس كل مثيل Log4j ضعيفًا ، ولكن فقط الحالات التي تعمل فيها المكتبة على إعدادات مخصصة. يحتاج المهاجم المحتمل أيضًا إلى رؤية تفصيلية حول كيفية عمل Log4j. على النقيض من الضعف الأولي الذي يسهل الوصول إليه.