Log4j Java liburutegiko ahultasun gaiztoaren larrialdi-adabakia ez da inongoa. Apache Software Foundation-ek bertsio berri bat kaleratzen du ahultasuna behin betiko konpontzeko.
Javarako oso ezaguna den liburutegiko ahultasun batek mundu mailako IT panorama astintzen ari da. Liburutegia ingurune korporatibo gehienetan dagoela kalkulatzen da.
Log4j erregistratzeko erabiltzen da batez ere. Aplikazioetako gertaerak oharrekin erregistratu daitezke. Pentsa saio-hasierako xehetasunen inprimaketa bat saioa hasteko saiakera baten ondoren. Edo, Javako web aplikazio baten kasuan, erabiltzailea konektatzen saiatzen ari den arakatzailearen izena.
Azken adibideak ohikoak dira. Bi kasuetan, kanpoko erabiltzaile batek Log4j-k ateratzen duen erregistroan eragiten du. Posible da eragin hori abusatzea. 4ko irailaren 13tik 2013eko abenduaren 5era arteko Log2021j-ren edozein bertsioren erregistroek Java aplikazioei gailu lokal batean urruneko zerbitzari batetik kodea exekutatzeko agindua eman diezaiekete.
2013az geroztik, Log4j-k API bat prozesatzen du: JNDI edo Java Naming and Directory Interface. JNDI gehitzeak Java aplikazio bati urruneko zerbitzari batetik kodea exekutatzea ahalbidetzen du tokiko gailu batean. Programatzaileek aplikazio batean urruneko zerbitzariari buruzko xehetasun-lerro bakar bat gehituz instruktzen dute.
Arazoa da programatzaileak ez direla aplikazioei araua gehitzeko gai. Demagun Log4j-k saioa hasteko saiakeren erabiltzaile-izenak erregistratzen dituela. Norbaitek erabiltzaile-izenaren eremuan aipatutako lerroa sartzen duenean, Log4j-k lerroa exekutatzen du eta Java aplikazioak komando bat interpretatzen du kodea zehaztutako zerbitzarian exekutatzeko. Gauza bera gertatzen da Log4j-k HTTPS eskaera bat erregistratzen duen kasuekin. Arakatzaile baten izena lerrora aldatzen baduzu, Log4j-k lerroa exekutatzen du, zeharka kodea nahi duzun moduan exekutatzeko aginduz.
Larrialdi adabakia ere ez da segurua izan
Abenduaren 9an, eskala handian agertu zen ahultasuna. Apache Software Foundation-ek, Log4j-ren garatzaileak, larrialdi adabaki bat kaleratu zuen (2.15) ahultasuna konpontzeko. Orduz geroztik, lehentasun nagusia izan da software-saltzaileek 2.15 bertsioa prozesatzea eta erakundeei adabaki bat ematea.
Hala ere, LunaSec segurtasun erakundeak dio adabakia ez dela guztiz estankoa. Posible izaten jarraitzen du ezarpen bat doitzea eta erregistratutako JNDI komandoak exekutatzea.
Kontuan izan: dagokion ezarpena eskuz egokitu behar da, aldatu gabeko 2.15 aldaerak seguruak izan daitezen. Hala ere, Luna Sec-ek hornitzaileei eta erakundeei Log4j 2.16ra eguneratzea gomendatzen die. 2.16 Apache Software Foundation-ek argitaratu zuen LunaSec-i erantzunez. Bertsio berriak erabat kentzen du ezarpen zaurgarria, tratu txarrak egiteko baldintzak sortzea ezinezkoa eginez.