Hitna zakrpa za zloglasnu ranjivost u Java biblioteci Log4j nije sigurna. Apache Software Foundation objavljuje novu verziju kako bi jednom zauvijek riješila ranjivost.
Ranjivost u veoma popularnoj biblioteci za Javu potresa globalni IT pejzaž. Procjenjuje se da biblioteka postoji u većini korporativnih okruženja.
Log4j se uglavnom koristi za logovanje. Događaji u aplikacijama mogu se registrovati sa bilješkama. Zamislite ispis detalja za prijavu nakon pokušaja prijave. Ili, u slučaju web aplikacije u Javi, naziv pretraživača na koji korisnik pokušava da se poveže.
Potonji primjeri su uobičajeni. U oba slučaja, vanjski korisnik utječe na dnevnik koji Log4j izlazi. Taj uticaj je moguće zloupotrijebiti. Dnevnici bilo koje verzije Log4j između 13. septembra 2013. i 5. decembra 2021. mogu uputiti Java aplikacijama da pokrenu kod sa udaljenog servera na lokalnom uređaju.
Od 2013. Log4j obrađuje API: JNDI, ili Java interfejs za imenovanje i imenik. Dodatak JNDI omogućava Java aplikaciji da pokrene kod sa udaljenog servera na lokalnom uređaju. Programeri podučavaju dodavanjem jedne linije detalja o udaljenom serveru u aplikaciji.
Problem je u tome što ne samo programeri mogu da dodaju pravilo aplikacijama. Pretpostavimo da Log4j bilježi korisnička imena pokušaja prijave. Kada neko unese gore pomenutu liniju u polje korisničkog imena, Log4j pokreće liniju i Java aplikacija tumači komandu za pokretanje koda na navedenom serveru. Isto važi i za slučajeve u kojima Log4j evidentira HTTPS zahtjev. Ako promijenite ime pretraživača u liniju, Log4j pokreće liniju, indirektno mu nalažući da pokrene kod po želji.
Zakrpa za hitne slučajeve također može biti nesigurna
9. decembra ranjivost je izašla na vidjelo u velikim razmjerima. Apache Software Foundation, programer Log4j, izdao je hitnu zakrpu (2.15) kako bi popravio ranjivost. Od tada je najveći prioritet za dobavljače softvera da obrađuju verziju 2.15 i obezbede zakrpu za organizacije.
Međutim, iz sigurnosne organizacije LunaSec navode da zakrpa nije potpuno vodonepropusna. Ostaje moguće podesiti postavku i izvršiti evidentirane JNDI komande.
Imajte na umu: relevantna postavka se mora podesiti ručno, tako da su neizmijenjene varijante 2.15 zaista sigurne. Ipak, Luna Sec preporučuje da dobavljači i organizacije ažuriraju na Log4j 2.16. 2.16 je objavila Apache Software Foundation kao odgovor na LunaSec. Nova verzija potpuno uklanja ranjivu postavku, čineći nemogućim stvaranje uslova za zloupotrebu.