Log4j Java liburutegiko ahultasun gaiztoaren eragina luzatzen da. Arazorik handiena 2.16 premiazko adabakiarekin konpondu bazen ere, bertsio honek gehiegikeriak jasan ditzakeela dirudi. Segurtasun ikertzaileek Deial of Service (DoS) erasoetarako sarrera bat aurkitu zuten. Log4j 2.17 argitaratu da sarrera ixteko.
Apachek, Java liburutegiaren garatzaileak, larrialdi adabakia aplikatzeko gomendatzen die erakundeei. Aholku hori hirugarren aldiz aplikatzen da liburutegia zaurgarria dela ikusi zenetik.
Duela aste eta erdi, Alibaba-ko segurtasun ikertzaileak cloud segurtasun taldeak Log4j-rekin aplikazioak abusatzeko metodo bat agerian utzi zuen. Log4j gertaerak erregistratzeko aplikazioetan erabiltzen da. Liburutegiko aplikazioak kanpotik sartzeko aukera izan zen malwarea exekutatzeko argibideekin. Tratu txar bat apur bat baino gehiago behar da. Gehitu horri liburutegiaren agerraldi estimatua enpresa-ingurune gehienetan eta ulertuko duzu mundu mailako IT panoramak jasaten duen hondamendiaren tamaina.
Fortinet, Cisco, IBM eta beste dozenaka software garatzaileek liburutegia erabiltzen dute beren softwarean. Haien garatzaileek aparteko orduak egin zituzten abenduaren 11ko asteburuan ahultasunaren lehen larrialdi adabakia prozesatzeko eta erabiltzaileen erakundeei entregatzeko. Zehazki noraeza bera espero zen erakunde hauetako IT taldeetatik. Mundu osoan ehunka milaka eraso saiakera egin ziren. Denek ahalik eta azkarren 2.15era aldatu behar izan zuten, 2.15a ere zaurgarria zela ikusi zen arte.
Liburutegiaren konfigurazio batzuk posible izaten jarraitzen zuten 2.15 bertsioan. Konfigurazio hauek erabiltzeak ahultasuna iraunarazi zuen. 2.16 bertsioak konfigurazioak ezinezko egin zituen, adabaki berri bat bermatuz. Sarritan dagoeneko gehiegizko laneko IT taldeen atsekaberako. Hala ere, beti izan daiteke okerragoa, 2.16ak ere gaitz bat duelako.
Itzuli hasierara
Arazoari mundu mailako arreta izugarriak mundu osoko ikerketa masiboak bultzatu zituen. Apache, liburutegiaren garatzaileak, ezin duela bi egunez arnasa hartu segurtasun-enpresa batek arazo larri eta larri bat adierazi gabe.
Laburbilduz, bilakatzen da log4j-ren dozenaka bertsio exekutatu daitezkeela - 2.16 barne - lerro batekin (katea) aplikazioa huts egiten duen betiko begizta bat hasteko. Ingurune batek tratu txarrak jasotzeko bete behar dituen baldintzak zabalak dira. Hain zabala, non arazoaren larritasun praktikoa eztabaidatzen da. Adabakia ofizialki gomendatzen da, baina denak ez daude konbentzituta.
Berriz ere, Log4j-ren instantzia guztiak ez dira zaurgarriak, liburutegia ezarpen pertsonalizatuetan exekutatzen ari den kasuak baizik. Erasotzaile potentzial batek Log4j-k nola funtzionatzen duen jakiteko ikuspegi zehatza behar du. Hasierako ahultasunarekin, erraz eskura daitekeenaren kontrastea.