De needpatch foar de beruchte kwetsberens yn Java-bibleteek Log4j is net foolproof. De Apache Software Foundation publisearret in nije ferzje om de kwetsberens ienris en foar altyd te reparearjen.
In kwetsberens yn in wyld populêre bibleteek foar Java skoddet it wrâldwide IT-lânskip. It wurdt rûsd dat de biblioteek bestiet yn de measte bedriuwsomjouwings.
Log4j wurdt benammen brûkt foar logging. Eveneminten yn applikaasjes kinne wurde registrearre mei notysjes. Tink oan in ôfdruk fan de oanmeldgegevens nei in ynlochpoging. Of, yn it gefal fan in webapplikaasje yn Java, de namme fan 'e browser wêrmei't in brûker besiket te ferbinen.
De lêste foarbylden binne gewoan. Yn beide gefallen beynfloedet in eksterne brûker it log dat Log4j útfiert. It is mooglik om dy ynfloed te misbrûken. De logs fan elke Log4j-ferzje tusken 13 septimber 2013 en 5 desimber 2021 kinne Java-applikaasjes ynstruearje om de koade út te fieren fan in tsjinner op ôfstân op in lokaal apparaat.
Sûnt 2013 hat Log4j in API ferwurke: JNDI, of Java Naming and Directory Interface. De tafoeging fan JNDI lit in Java-applikaasje koade útfiere fan in tsjinner op ôfstân op in lokaal apparaat. Programmeurs ynstruearje troch in inkele rigel fan details ta te foegjen oer de tsjinner op ôfstân yn in applikaasje.
It probleem is dat net allinich programmeurs de regel kinne tafoegje oan applikaasjes. Stel dat Log4j de brûkersnammen fan oanmeldpogingen oanmelde. As immen de niisneamde rigel yn it brûkersnammefjild ynfiert, rint Log4j de rigel en de Java-applikaasje ynterpretearret in kommando om de koade út te fieren op de oantsjutte tsjinner. Itselde jildt foar gefallen dêr't Log4j in HTTPS-fersyk oanmelde. As jo feroarje in blêder namme oan de rigel, Log4j rint de line, yndirekt instructing te rinne koade as winske.
Emergency patch kin ek wêze ûnfeilich
Op 9 desimber kaam de kwetsberens op grutte skaal oan it ljocht. De Apache Software Foundation, ûntwikkelder fan Log4j, hat in needpatch (2.15) frijlitten om de kwetsberens te reparearjen. Sûnt dy tiid hat it in topprioriteit west foar softwareferkeapers om ferzje 2.15 te ferwurkjen en in patch te leverjen foar organisaasjes.
Befeiligingsorganisaasje LunaSec stelt lykwols dat de patch net hielendal wettertich is. It bliuwt mooglik om in ynstelling oan te passen en oanmelde JNDI-kommando's te hawwen útfierd.
Tink derom: de oanbelangjende ynstelling moat mei de hân oanpast wurde, sadat ûnferoare farianten fan 2.15 yndie feilich binne. Dochs advisearret Luna Sec dat leveransiers en organisaasjes bywurkje nei Log4j 2.16. 2.16 waard publisearre troch Apache Software Foundation yn reaksje op LunaSec. De nije ferzje ferwideret de kwetsbere ynstelling folslein, wêrtroch it ûnmooglik is om de betingsten foar misbrûk te meitsjen.