Ang emerhensya nga patch alang sa dili maayo nga pagkahuyang sa Java library Log4j dili walay kapuslanan. Ang Apache Software Foundation nagpagawas usa ka bag-ong bersyon aron ayohon ang pagkahuyang sa makausa ug alang sa tanan.
Usa ka pagkahuyang sa usa ka labi ka sikat nga librarya alang sa Java nag-uyog sa tibuuk kalibutan nga talan-awon sa IT. Gibanabana nga ang librarya anaa sa kadaghanan sa mga corporate environment.
Ang Log4j kasagarang gigamit sa pag-log. Ang mga panghitabo sa mga aplikasyon mahimong marehistro gamit ang mga nota. Hunahunaa ang usa ka printout sa mga detalye sa pag-login pagkahuman sa pagsulay sa pag-login. O, sa kaso sa usa ka web application sa Java, ang ngalan sa browser nga gisulayan sa usa ka user nga makonektar.
Ang ulahi nga mga pananglitan kasagaran. Sa duha ka mga kaso, ang usa ka eksternal nga tiggamit nag-impluwensya sa log nga Log4j outputs. Posible nga abusuhan kana nga impluwensya. Ang mga log sa bisan unsang bersyon sa Log4j tali sa Setyembre 13, 2013 ug Disyembre 5, 2021 makahimo sa pagtudlo sa mga aplikasyon sa Java sa pagpadagan sa code gikan sa usa ka hilit nga server sa usa ka lokal nga device.
Sukad sa 2013, ang Log4j nagproseso sa usa ka API: JNDI, o Java Naming and Directory Interface. Ang pagdugang sa JNDI nagtugot sa Java nga aplikasyon sa pagpadagan sa code gikan sa usa ka hilit nga server sa usa ka lokal nga device. Nagtudlo ang mga programmer pinaagi sa pagdugang usa ka linya sa mga detalye bahin sa hilit nga server sa usa ka aplikasyon.
Ang problema mao nga dili lamang mga programmer ang makadugang sa lagda sa mga aplikasyon. Ibutang ta nga ang Log4j nag-log sa mga username sa mga pagsulay sa pag-login. Kung adunay usa nga mosulod sa nahisgutan nga linya sa natad sa username, ang Log4j nagpadagan sa linya ug ang aplikasyon sa Java naghubad sa usa ka mando aron ipadagan ang code sa piho nga server. Ingon usab ang alang sa mga kaso diin ang Log4j nag-log usa ka hangyo sa HTTPS. Kung imong usbon ang ngalan sa browser sa linya, ang Log4j nagpadagan sa linya, nga dili direkta nga nagtudlo niini sa pagpadagan sa code kung gusto.
Ang emergency patch mahimo usab nga dili luwas
Niadtong Disyembre 9, ang pagkahuyang nahayag sa usa ka dako nga sukod. Ang Apache Software Foundation, developer sa Log4j, nagpagawas sa usa ka emergency patch (2.15) aron ayohon ang kahuyang. Sukad niadto, kini usa ka nag-unang prayoridad alang sa mga tigbaligya sa software sa pagproseso sa bersyon 2.15 ug paghatag usa ka patch alang sa mga organisasyon.
Bisan pa, ang organisasyon sa seguridad nga LunaSec nag-ingon nga ang patch dili hingpit nga wala’y tubig. Nagpabilin nga posible ang pag-adjust sa usa ka setting ug ang pag-log sa mga mando sa JNDI nga gipatuman.
Palihug timan-i: ang may kalabutan nga setting kinahanglan nga i-adjust sa mano-mano, aron ang wala giusab nga mga variant sa 2.15 luwas gayud. Bisan pa, girekomenda ni Luna Sec nga ang mga supplier ug organisasyon mag-update sa Log4j 2.16. 2.16 gimantala sa Apache Software Foundation isip tubag sa LunaSec. Ang bag-ong bersyon hingpit nga nagtangtang sa huyang nga kahimtang, nga naghimo nga imposible ang paghimo sa mga kondisyon alang sa pag-abuso.