Log4j 2.16 yn agored i ymosodiadau DoS, argymhellir darn brys 2.17

Mae effaith y bregusrwydd gwaradwyddus yn llyfrgell Java Log4j yn llusgo ymlaen. Er bod y broblem fwyaf wedi'i datrys gyda darn brys 2.16, mae'n ymddangos bod y fersiwn hon hefyd yn agored i gael ei cham-drin. Daeth ymchwilwyr diogelwch o hyd i fynedfa ar gyfer ymosodiadau Gwrthod Gwasanaeth (DoS). Mae Log4j 2.17 wedi'i gyhoeddi i gau'r cofnod.

Mae Apache, datblygwr llyfrgell Java, yn cynghori sefydliadau i gymhwyso'r clwt brys. Mae’r cyngor hwnnw’n berthnasol am y trydydd tro ers canfod bod y llyfrgell yn agored i niwed.

Wythnos a hanner yn ôl, mae ymchwilwyr diogelwch o Alibaba's cloud datgelodd y tîm diogelwch ddull o gamddefnyddio cymwysiadau gyda Log4j. Defnyddir Log4j mewn cymwysiadau i gofnodi digwyddiadau. Daeth yn bosibl cyrchu cymwysiadau gyda'r llyfrgell o'r tu allan gyda chyfarwyddiadau ar gyfer gweithredu malware. Nid yw cam-drin yn cymryd llawer mwy na snap. Ychwanegwch at hynny yr amcangyfrif o ddigwyddiad y llyfrgell yn y rhan fwyaf o amgylcheddau corfforaethol ac rydych chi'n deall maint y trychineb sy'n wynebu'r dirwedd TG fyd-eang.

Mae datblygwyr meddalwedd fel Fortinet, Cisco, IBM a dwsinau o rai eraill yn defnyddio'r llyfrgell yn eu meddalwedd. Gweithiodd eu datblygwyr goramser dros y penwythnos Rhagfyr 11 i brosesu'r darn brys cyntaf ar gyfer y bregusrwydd a'i gyflwyno i sefydliadau defnyddwyr. Roedd disgwyl yr un drifft yn union gan y timau TG o fewn y sefydliadau hyn. Digwyddodd cannoedd o filoedd o ymosodiadau ymosod ledled y byd. Roedd yn rhaid i bawb newid i 2.15 cyn gynted ag y bo modd – nes bod 2.15 hefyd yn agored i niwed.

Roedd rhai ffurfweddiadau o'r llyfrgell yn dal yn bosibl yn fersiwn 2.15. Roedd defnyddio'r ffurfweddiadau hyn yn parhau i fod yn agored i niwed. Gwnaeth fersiwn 2.16 y ffurfweddiadau'n amhosibl, gan warantu darn newydd. Yn aml er mawr loes i dimau TG sydd eisoes wedi gorweithio. Fodd bynnag, gall fod yn waeth bob amser, oherwydd mae gan 2.16 anhwylder hefyd.

Yn ôl i ddechrau

Arweiniodd y sylw byd-eang enfawr i'r broblem at ymchwiliad byd-eang enfawr. Ni all Apache, datblygwr y llyfrgell, fel petai'n dal ei wynt am ddau ddiwrnod heb i gwmni diogelwch dynnu sylw at broblem enbyd, newydd.

Yn fyr, mae'n ymddangos ei bod hi'n bosibl rhedeg dwsinau o fersiynau o log4j - gan gynnwys 2.16 - gydag un llinell (llinyn) i gychwyn dolen dragwyddol sy'n chwalu'r cais. Mae'r amodau y mae'n rhaid i amgylchedd eu bodloni er mwyn cael eu cam-drin yn helaeth. Mor helaeth fel bod difrifoldeb ymarferol y broblem yn destun dadl. Argymhellir y clwt yn swyddogol, ond nid yw pawb yn argyhoeddedig.

Unwaith eto, nid yw pob achos o Log4j yn agored i niwed, ond dim ond achosion lle mae'r llyfrgell yn rhedeg ar osodiadau arferol. Mae angen mewnwelediad manwl hefyd ar ymosodwr posibl i sut mae Log4j yn gweithio. Cyferbyniad i'r bregusrwydd cychwynnol, hawdd ei gyrraedd.