تاثیر آسیب پذیری بدنام در کتابخانه جاوا Log4j ادامه دارد. اگرچه بزرگترین مشکل با پچ فوری 2.16 حل شد، اما به نظر می رسد این نسخه نیز مستعد سوء استفاده است. محققان امنیتی یک ورودی برای حملات Denial of Service (DoS) پیدا کردند. Log4j 2.17 برای بستن ورودی منتشر شده است.
آپاچی، توسعه دهنده کتابخانه جاوا، به سازمان ها توصیه می کند که پچ اضطراری را اعمال کنند. این توصیه برای سومین بار از زمانی که کتابخانه آسیب پذیر است اعمال می شود.
یک هفته و نیم پیش، محققان امنیتی از Alibaba cloud تیم امنیتی روشی را برای سوء استفاده از برنامه ها با Log4j نشان داد. Log4j در برنامه های کاربردی برای ثبت رویدادها استفاده می شود. معلوم شد که دسترسی به برنامه های کاربردی با کتابخانه از خارج با دستورالعمل های اجرای بدافزار امکان پذیر است. سوء استفاده کمی بیشتر از یک ضربه فوری طول می کشد. وقوع تخمینی کتابخانه در اکثر محیطهای شرکتی را به آن اضافه کنید و مقیاس فاجعهای را که چشمانداز جهانی فناوری اطلاعات با آن مواجه است را درک خواهید کرد.
توسعه دهندگان نرم افزار مانند Fortinet، Cisco، IBM و ده ها نفر دیگر از این کتابخانه در نرم افزار خود استفاده می کنند. توسعه دهندگان آنها در آخر هفته 11 دسامبر اضافه کاری کردند تا اولین وصله اضطراری آسیب پذیری را پردازش کرده و آن را به سازمان های کاربر تحویل دهند. دقیقاً همان رانش از تیم های فناوری اطلاعات در این سازمان ها انتظار می رفت. صدها هزار حمله در سراسر جهان صورت گرفت. همه باید در اسرع وقت به 2.15 تغییر می کردند - تا اینکه 2.15 نیز آسیب پذیر بود.
تنظیمات خاصی از کتابخانه در نسخه 2.15 امکان پذیر بود. استفاده از این پیکربندی ها این آسیب پذیری را تداوم بخشید. نسخه 2.16 تنظیمات را غیرممکن کرد و یک پچ جدید را تضمین کرد. اغلب باعث ناراحتی تیم های IT که قبلاً بیش از حد کار کرده بودند. با این حال، همیشه می تواند بدتر باشد، زیرا 2.16 نیز یک بیماری دارد.
بازگشت به شروع
توجه گسترده جهانی به این مشکل تحقیقات گسترده جهانی را برانگیخت. آپاچی، توسعهدهنده کتابخانه، به نظر نمیرسد تا دو روز بدون اینکه یک شرکت امنیتی به مشکل جدید و مبرمی اشاره کند، نفس خود را بند بیاورد.
به طور خلاصه، معلوم می شود که می توان ده ها نسخه log4j - از جمله 2.16 - را با یک خط (رشته) اجرا کرد تا یک حلقه ابدی شروع شود که برنامه را خراب می کند. شرایطی که یک محیط باید داشته باشد تا مورد سوء استفاده قرار گیرد، گسترده است. آنقدر گسترده است که جدیت عملی مشکل مورد بحث است. پچ رسما توصیه می شود، اما همه قانع نشده اند.
باز هم، همه نمونههای Log4j آسیبپذیر نیستند، بلکه فقط مواردی که کتابخانه روی تنظیمات سفارشی اجرا میشود. یک مهاجم بالقوه همچنین نیاز به بینش دقیق در مورد نحوه عملکرد Log4j دارد. تضاد با آسیب پذیری اولیه و به راحتی قابل دسترسی.