Уплыў сумна вядомай уразлівасці ў бібліятэцы Java Log4j зацягваецца. Нягледзячы на тое, што самая вялікая праблема была вырашана з дапамогай тэрміновага патча 2.16, гэтая версія таксама можа быць схільнай да злоўжыванняў. Даследчыкі бяспекі знайшлі ўваход для нападаў на адмову ў абслугоўванні (DoS). Log4j 2.17 быў апублікаваны, каб закрыць запіс.
Apache, распрацоўшчык бібліятэкі Java, раіць арганізацыям прымяняць экстраны патч. Гэтая парада дзейнічае ў трэці раз з моманту прызнання бібліятэкі ўразлівай.
Паўтара тыдні таму даследчыкі бяспекі з Alibaba's cloud Каманда бяспекі раскрыла метад злоўжывання прыкладаннямі з Log4j. Log4j выкарыстоўваецца ў праграмах для рэгістрацыі падзей. Аказалася, што можна атрымаць доступ да прыкладанняў з бібліятэкай звонку з інструкцыямі па выкананні шкоднасных праграм. Злоўжыванне займае крыху больш, чым адзін момант. Дадайце да гэтага меркаванае распаўсюджванне бібліятэкі ў большасці карпаратыўных асяроддзяў, і вы зразумееце маштаб катастрофы, з якой сутыкаецца сусветны IT-ландшафт.
Распрацоўшчыкі праграмнага забеспячэння, такія як Fortinet, Cisco, IBM і дзесяткі іншых, выкарыстоўваюць бібліятэку ў сваім праграмным забеспячэнні. Іх распрацоўшчыкі працавалі звышурочна ў выходныя 11 снежня, каб апрацаваць першы экстраны патч для ўразлівасці і даставіць яго арганізацыям-карыстальнікам. Дакладна такога ж дрэйфу чакалі ад ІТ-каманд у гэтых арганізацыях. Па ўсім свеце адбыліся сотні тысяч спробаў нападу. Усе павінны былі як мага хутчэй перайсці на 2.15 – пакуль 2.15 таксама не аказалася ўразлівым.
Некаторыя канфігурацыі бібліятэкі засталіся магчымымі ў версіі 2.15. Выкарыстанне гэтых канфігурацый захавала ўразлівасць. Версія 2.16 зрабіла немагчымымі канфігурацыі, гарантуючы новы патч. Часта на злосць і без таго перагружаных ІТ-каманд. Аднак заўсёды можа быць горш, бо ў 2.16 таксама ёсць хвароба.
Вярнуцца да пачатку
Велізарная глабальная ўвага да гэтай праблемы выклікала масавае расследаванне ва ўсім свеце. Apache, распрацоўшчык бібліятэкі, не можа перавесці дыханне на працягу двух дзён без таго, каб ахоўная кампанія ўказала на новую, надзённую праблему.
Карацей кажучы, аказваецца, што можна запусціць дзесяткі версій log4j - у тым ліку 2.16 - з адной радком (радком), каб запусціць вечны цыкл, які прыводзіць да збою прыкладання. Умовы, якім павінна адпавядаць асяроддзе, каб падвергнуцца злоўжыванням, шырокія. Настолькі шырокі, што практычная сур'ёзнасць праблемы аспрэчваецца. Патч афіцыйна рэкамендуецца, але не ўсе перакананыя.
Зноў жа, не кожны асобнік Log4j з'яўляецца ўразлівым, а толькі ў тых выпадках, калі бібліятэка працуе ў карыстальніцкіх наладах. Патэнцыйнаму зламысніку таксама неабходна падрабязнае ўяўленне аб тым, як працуе Log4j. Кантраст з пачатковай, лёгкадаступнай уразлівасцю.