Java Log4j kitabxanasındakı bədnam zəifliyin təsiri uzanır. Ən böyük problem təcili yamaq 2.16 ilə həll edilsə də, bu versiya da sui-istifadəyə həssas görünür. Təhlükəsizlik tədqiqatçıları Service Denial of Service (DoS) hücumları üçün giriş tapıblar. Girişi bağlamaq üçün Log4j 2.17 nəşr olundu.
Java kitabxanasının tərtibatçısı Apache təşkilatlara təcili yamağı tətbiq etməyi tövsiyə edir. Kitabxananın həssas olduğu aşkar edildikdən sonra bu tövsiyə üçüncü dəfə tətbiq edilir.
Bir həftə yarım əvvəl Alibaba-dan təhlükəsizlik tədqiqatçıları cloud təhlükəsizlik qrupu Log4j ilə tətbiqlərdən sui-istifadə etmək üçün bir üsul aşkar etdi. Log4j hadisələri qeyd etmək üçün proqramlarda istifadə olunur. Zərərli proqramların icrası üçün təlimatlarla kənardan kitabxana ilə proqramlara daxil olmaq mümkün oldu. Sui-istifadə bir andaca daha çox vaxt aparır. Buna əksər korporativ mühitlərdə kitabxananın təxmini baş verməsini əlavə edin və siz qlobal İT mənzərəsinin üzləşdiyi fəlakətin miqyasını başa düşürsünüz.
Fortinet, Cisco, IBM və onlarla başqa proqram tərtibatçıları öz proqramlarında kitabxanadan istifadə edirlər. Onların tərtibatçıları zəiflik üçün ilk təcili yamağı emal etmək və onu istifadəçi təşkilatlarına çatdırmaq üçün həftə sonu dekabrın 11-də iş vaxtından artıq işləyiblər. Bu təşkilatlar daxilindəki İT komandalarından da eyni sürüşmə gözlənilirdi. Dünyada yüz minlərlə hücum cəhdi olub. Hər kəs mümkün qədər tez 2.15-ə keçməli idi - 2.15-ə qədər də həssas olduğu aşkar edildi.
Kitabxananın müəyyən konfiqurasiyaları 2.15 versiyasında mümkün qaldı. Bu konfiqurasiyalardan istifadə zəifliyi davam etdirdi. Versiya 2.16 konfiqurasiyaları qeyri-mümkün etdi və yeni patch təmin etdi. Çox vaxt artıq çox işləyən İT komandalarının qəzəbinə səbəb olur. Ancaq həmişə daha pis ola bilər, çünki 2.16-da da bir xəstəlik var.
Başlamaq üçün
Problemə qlobal diqqət böyük dünya araşdırmasına səbəb oldu. Kitabxananın tərtibatçısı Apache, təhlükəsizlik şirkəti yeni, aktual problemə işarə etmədən iki gün nəfəsini tuta bilmir.
Bir sözlə, belə çıxır ki, tətbiqi sıradan çıxaran əbədi döngəyə başlamaq üçün log4j-in onlarla versiyasını – 2.16 da daxil olmaqla – bir sətirlə (sətir) işə salmaq mümkündür. Bir mühitin sui-istifadəyə məruz qalması üçün cavab verməli olduğu şərtlər genişdir. O qədər genişdir ki, problemin praktiki ciddiliyi mübahisəlidir. Yamaq rəsmi olaraq tövsiyə olunur, lakin hamı əmin deyil.
Yenə də, Log4j-in hər nümunəsi həssas deyil, ancaq kitabxananın xüsusi parametrlərdə işlədiyi hallarda. Potensial təcavüzkar həm də Log4j-in necə işlədiyi barədə ətraflı məlumat tələb edir. İlkin, asanlıqla əldə edilə bilən zəiflikdən fərqli olaraq.