Java Log4j kitabxanasındakı bədnam zəiflik üçün təcili yamaq qüsursuz deyil. Apache Software Foundation zəifliyi birdəfəlik aradan qaldırmaq üçün yeni versiyanı buraxır.
Java üçün çox məşhur olan kitabxanadakı boşluq qlobal İT mənzərəsini sarsıdır. Kitabxananın əksər korporativ mühitlərdə mövcud olduğu təxmin edilir.
Log4j əsasən logging üçün istifadə olunur. Tətbiqlərdəki hadisələr qeydlərlə qeydə alına bilər. Giriş cəhdindən sonra giriş məlumatlarının çapını düşünün. Və ya Java-da veb tətbiqi vəziyyətində, istifadəçinin qoşulmağa çalışdığı brauzerin adı.
Sonuncu nümunələr ümumidir. Hər iki halda, kənar istifadəçi Log4j-in çıxardığı jurnala təsir göstərir. Bu təsirdən sui-istifadə etmək mümkündür. 4 sentyabr 13-cü il və 2013 dekabr 5-ci il tarixləri arasında istənilən Log2021j versiyasının qeydləri Java proqramlarına yerli cihazda uzaq serverdən kodu işə salmaq üçün göstəriş verə bilər.
2013-cü ildən Log4j API-ni emal edir: JNDI və ya Java Adlandırma və Kataloq İnterfeysi. JNDI-nin əlavə edilməsi Java proqramına yerli cihazda uzaq serverdən kod işlətməyə imkan verir. Proqramçılar proqrama uzaq server haqqında bir sətir təfərrüat əlavə etməklə təlimat verirlər.
Problem ondadır ki, təkcə proqramçılar qaydanı tətbiqlərə əlavə edə bilmirlər. Tutaq ki, Log4j giriş cəhdlərinin istifadəçi adlarını qeyd edir. Kimsə istifadəçi adı sahəsinə yuxarıda qeyd olunan sətirə daxil olduqda, Log4j xətti işə salır və Java proqramı göstərilən serverdə kodu işə salmaq üçün əmri şərh edir. Eyni şey Log4j-in HTTPS sorğusunu qeyd etdiyi hallara da aiddir. Brauzer adını sətirə dəyişdirsəniz, Log4j xətti işlədir və dolayı yolla ona kodu istədiyiniz kimi işlətməyi tapşırır.
Təcili yamaq da təhlükəli ola bilər
Dekabrın 9-da zəiflik geniş miqyasda üzə çıxdı. Log4j proqramının tərtibçisi olan Apache Software Foundation zəifliyi aradan qaldırmaq üçün təcili yamaq (2.15) buraxdı. O vaxtdan bəri, proqram təminatçıları üçün 2.15 versiyasını emal etmək və təşkilatlar üçün yamaq təmin etmək əsas prioritet olmuşdur.
Bununla belə, LunaSec təhlükəsizlik təşkilatı yamağın tamamilə su keçirmədiyini bildirir. Parametrləri tənzimləmək və icra edilmiş JNDI əmrlərini daxil etmək mümkün olaraq qalır.
Nəzərə alın: 2.15-in dəyişdirilməmiş variantları həqiqətən təhlükəsiz olması üçün müvafiq parametr əl ilə tənzimlənməlidir. Buna baxmayaraq, Luna Sec təchizatçılara və təşkilatlara Log4j 2.16-a yeniləməyi tövsiyə edir. 2.16 LunaSec-ə cavab olaraq Apache Software Foundation tərəfindən nəşr edilmişdir. Yeni versiya həssas parametrləri tamamilə aradan qaldıraraq sui-istifadə üçün şərait yaratmağı qeyri-mümkün edir.