Ang epekto sa makalilisang nga kahuyang sa Java library Log4j nagpadayon. Bisan kung ang pinakadako nga problema nasulbad sa dinalian nga patch 2.16, kini nga bersyon usab makita nga dali nga maabuso. Ang mga tigdukiduki sa seguridad nakakaplag usa ka agianan alang sa mga pag-atake sa Denial of Service (DoS). Ang Log4j 2.17 gipatik aron pagsira sa entry.
Ang Apache, developer sa Java library, nagtambag sa mga organisasyon sa paggamit sa emergency patch. Kana nga tambag magamit sa ikatulong higayon sukad nga ang librarya nakit-an nga huyang.
Usa ka semana ug tunga ang milabay, ang mga tigdukiduki sa seguridad gikan sa Alibaba's cloud Ang security team nagpadayag ug pamaagi sa pag-abuso sa mga aplikasyon gamit ang Log4j. Ang Log4j gigamit sa mga aplikasyon sa pag-log sa mga panghitabo. Kini nahimo nga posible nga ma-access ang mga aplikasyon gamit ang librarya gikan sa gawas nga adunay mga panudlo alang sa pagpatuman sa malware. Ang pag-abuso nagkinahanglan ug gamay ra. Idugang sa kana ang gibanabana nga panghitabo sa librarya sa kadaghanan nga mga palibot sa korporasyon ug nasabtan nimo ang sukod sa katalagman nga giatubang sa tibuuk kalibutan nga talan-awon sa IT.
Ang mga nag-develop sa software sama sa Fortinet, Cisco, IBM ug daghang uban pa naggamit sa librarya sa ilang software. Ang ilang mga developers nagtrabaho sa overtime sa katapusan sa semana sa Disyembre 11 aron maproseso ang una nga emergency patch alang sa pagkahuyang ug ihatud kini sa mga organisasyon sa tiggamit. Eksakto nga parehas nga pag-anod ang gipaabut gikan sa mga IT team sa sulod niini nga mga organisasyon. Gatusan ka libo nga mga pagsulay sa pag-atake ang nahitabo sa tibuuk kalibutan. Ang tanan kinahanglan nga mobalhin sa 2.15 sa labing madali nga panahon - hangtod ang 2.15 nakit-an usab nga huyang.
Ang pipila ka mga pag-configure sa librarya nagpabilin nga posible sa bersyon 2.15. Ang paggamit niini nga mga pag-configure nagpadayon sa pagkahuyang. Ang Bersyon 2.16 naghimo sa mga pag-configure nga imposible, naggarantiya sa usa ka bag-ong patch. Sagad sa kalagot sa na-overwork nga IT teams. Bisan pa, kini mahimo nga labi ka grabe, tungod kay ang 2.16 adunay sakit usab.
Balik sa pagsugod
Ang dako nga global nga pagtagad sa problema nag-aghat sa dako nga tibuok kalibutan nga imbestigasyon. Apache, developer sa librarya, daw dili makaginhawa sulod sa duha ka adlaw nga walay security company nga nagpunting sa bag-o, dinalian nga problema.
Sa laktud, kini nahimo nga posible nga magpadagan sa daghang mga bersyon sa log4j - lakip ang 2.16 - nga adunay usa ka linya (string) aron magsugod ang usa ka walay katapusan nga loop nga nag-crash sa aplikasyon. Ang mga kondisyon nga kinahanglan matuman sa usa ka palibot aron maabusohan kaylap. Lapad kaayo nga ang praktikal nga kaseryoso sa problema gilalisan. Ang patch opisyal nga girekomenda, apan dili tanan kombinsido.
Pag-usab, dili tanan nga higayon sa Log4j huyang, apan mga kaso lamang kung diin ang librarya nagdagan sa naandan nga mga setting. Ang usa ka potensyal nga tig-atake nanginahanglan usab og detalyado nga panabut kung giunsa ang Log4j molihok. Usa ka kalainan sa una, dali nga makuha nga pagkahuyang.