La kriz-diakilo por la fifama vundebleco en Java-biblioteko Log4j ne estas neprava. La Apache Programaro-Fondaĵo publikigas novan version por ripari la vundeblecon unufoje por ĉiam.
Vulnerabileco en tre populara biblioteko por Java skuas la tutmondan IT-pejzaĝon. Estas laŭtakse ke la biblioteko ekzistas en la plej multaj entreprenaj medioj.
Log4j estas ĉefe uzata por registri. Eventoj en aplikoj povas esti registritaj per notoj. Pensu pri printaĵo de la ensalutaj detaloj post ensalutprovo. Aŭ, en la kazo de TTT-aplikaĵo en Java, la nomo de la retumilo al kiu uzanto provas konekti.
Ĉi-lastaj ekzemploj estas oftaj. En ambaŭ kazoj, ekstera uzanto influas la protokolon kiun Log4j eligas. Eblas misuzi tiun influon. La protokoloj de iu ajn versio de Log4j inter la 13-a de septembro 2013 kaj la 5-a de decembro 2021 kapablas instrukcii Java-aplikojn prizorgi la kodon de fora servilo sur loka aparato.
Ekde 2013, Log4j prilaboras API: JNDI, aŭ Java Naming and Directory Interface. La aldono de JNDI permesas al Java aplikaĵo ruli kodon de fora servilo sur loka aparato. Programistoj instruas aldonante ununuran linion de detaloj pri la fora servilo en aplikaĵo.
La problemo estas, ke ne nur programistoj kapablas aldoni la regulon al aplikaĵoj. Supozu, ke Log4j registras la uzantnomojn de ensalutprovoj. Kiam iu eniras la menciitan linion en la uzantnomo kampo, Log4j rulas la linion kaj la Java-apliko interpretas komandon por ruli la kodon sur la specifita servilo. La sama validas por kazoj kie Log4j registras HTTPS-peton. Se vi ŝanĝas retumilnomon al la linio, Log4j kuras la linion, nerekte instrukciante ĝin ruli kodon laŭdezire.
Krizpeceto ankaŭ povas esti nesekura
La 9-an de decembro, la vundebleco grandskale aperis. La Apache Programaro-Fondaĵo, ellaboranto de Log4j, publikigis kriz-diakilon (2.15) por ripari la vundeblecon. Ekde tiam, estis ĉefprioritato por softvarvendistoj prilabori version 2.15 kaj disponigi diakilon por organizoj.
Tamen, sekurecorganizo LunaSec deklaras ke la peceto ne estas tute akvorezista. Restas eble alĝustigi agordon kaj esti ekzekutitaj ensalutitaj JNDI-komandoj.
Bonvolu noti: la koncerna agordo devas esti ĝustigita permane, tiel ke neŝanĝitaj variantoj de 2.15 estas ja sekuraj. Tamen, Luna Sec rekomendas, ke provizantoj kaj organizoj ĝisdatigu al Log4j 2.16. 2.16 estis publikigita fare de Apache Software Foundation en respondo al LunaSec. La nova versio tute forigas la vundeblan agordon, malpermesante krei la kondiĉojn por misuzo.