La efiko de la fifama vundebleco en Java biblioteko Log4j daŭras. Kvankam la plej granda problemo estis solvita per urĝa flikaĵo 2.16, ĉi tiu versio ankaŭ ŝajnas esti susceptible al misuzo. Sekurecaj esploristoj trovis enirejon por atakoj de Denial of Service (DoS). Log4j 2.17 estis publikigita por fermi la eniron.
Apache, programisto de la Java-biblioteko, konsilas organizojn apliki la kriz-peceton. Tiu konsilo validas por la trian fojon ĉar la biblioteko estis trovita vundebla.
Antaŭ semajno kaj duono, esploristoj pri sekureco de Alibaba cloud sekureca teamo malkaŝis metodon por misuzi aplikojn kun Log4j. Log4j estas uzata en aplikaĵoj por registri eventojn. Montriĝis eble aliri aplikojn kun la biblioteko de ekstere kun instrukcioj por ekzekuti malware. Misuzo prenas iom pli ol klako. Aldonu al tio la laŭtaksan aperon de la biblioteko en la plej multaj kompaniaj medioj kaj vi komprenas la amplekson de la katastrofo alfrontanta la tutmondan IT-pejzaĝon.
Programistoj kiel Fortinet, Cisco, IBM kaj dekduoj da aliaj uzas la bibliotekon en sia programaro. Iliaj programistoj laboris kromlaborojn dum la semajnfino de la 11-a de decembro por prilabori la unuan krizan diakilon por la vundebleco kaj liveri ĝin al uzantorganizoj. Ekzakte la sama drivo estis atendita de la IT-teamoj ene de ĉi tiuj organizoj. Tutmonde okazis centoj da miloj da atakprovoj. Ĉiuj devis ŝanĝi al 2.15 kiel eble plej baldaŭ - ĝis 2.15 ankaŭ estis trovita vundebla.
Iuj agordoj de la biblioteko restis eblaj en versio 2.15. Uzado de ĉi tiuj agordoj eternigis la vundeblecon. Versio 2.16 maleblas la agordojn, garantiante novan flikaĵon. Ofte al la ĉagreno de jam trolaboritaj IT-teamoj. Tamen, ĝi ĉiam povas esti pli malbona, ĉar 2.16 ankaŭ havas malsanon.
Reen por komenci
La masiva tutmonda atento al la problemo instigis amasan tutmondan enketon. Apache, programisto de la biblioteko, ŝajne ne povas respiri dum du tagoj sen sekureca firmao atentigi novan, urĝan problemon.
Resume, rezultas, ke eblas ruli dekojn da versioj de log4j – inkluzive de 2.16 – per unu linio (ŝnuro) por komenci eternan buklon, kiu frakasas la aplikaĵon. La kondiĉoj kiujn medio devas renkonti por esti misuzata estas ampleksaj. Tiel vasta, ke la praktika seriozeco de la problemo estas pridisputata. La diakilo estas oficiale rekomendita, sed ne ĉiuj estas konvinkitaj.
Denove, ne ĉiu kazo de Log4j estas vundebla, sed nur kazoj kie la biblioteko funkcias laŭ kutimaj agordoj. Ebla atakanto ankaŭ bezonas detalan komprenon pri kiel funkcias Log4j. Kontrasto al la komenca, facile alirebla vundebleco.