De ynfloed fan 'e beruchte kwetsberens yn' e Java-bibleteek Log4j sleept oan. Hoewol it grutste probleem waard oplost mei urgent patch 2.16, liket dizze ferzje ek gefoelich foar misbrûk. Feiligensûndersikers fûnen in yngong foar Denial of Service (DoS) oanfallen. Log4j 2.17 is publisearre om de yngong te sluten.
Apache, ûntwikkelder fan 'e Java-bibleteek, advisearret organisaasjes om de needpatch oan te passen. Dat advys jildt foar de tredde kear sûnt de biblioteek kwetsber waard.
In wike en in heal lyn, feiligens ûndersikers fan Alibaba's cloud befeiligingsteam iepenbiere in metoade foar misbrûk fan applikaasjes mei Log4j. Log4j wurdt brûkt yn applikaasjes om eveneminten te loggen. It die bliken mooglik om mei de bibleteek fan bûtenôf tagong te krijen ta applikaasjes mei ynstruksjes foar it útfieren fan malware. Misbrûk nimt net folle mear as in snap. Foegje dêrby it rûsde foarkommen fan 'e biblioteek yn' e measte bedriuwsomjouwings ta en jo begripe de skaal fan 'e ramp dy't it wrâldwide IT-lânskip tsjinkomt.
Software-ûntwikkelders lykas Fortinet, Cisco, IBM en tsientallen oaren brûke de bibleteek yn har software. Harren ûntwikkelders wurken oer it wykein 11 desimber om de earste needpatch foar de kwetsberens te ferwurkjen en it te leverjen oan brûkersorganisaasjes. Krekt deselde drift waard ferwachte fan de IT-teams binnen dizze organisaasjes. Hûnderttûzenen oanfalpogingen fûnen wrâldwiid plak. Elkenien moast sa gau mooglik oerstappe nei 2.15 – oant 2.15 ek kwetsber fûn waard.
Bepaalde konfiguraasjes fan 'e bibleteek bleaunen mooglik yn ferzje 2.15. It brûken fan dizze konfiguraasjes ferfolge de kwetsberens. Ferzje 2.16 makke de konfiguraasjes ûnmooglik, en garandearre in nije patch. Faak ta it spyt fan al oerwurke IT-teams. It kin lykwols altyd slimmer, want 2.16 hat ek in kwaal.
Werom nei start
De massale wrâldwide oandacht foar it probleem soarge foar massaal wrâldwiid ûndersyk. Apache, ûntwikkelder fan 'e bibleteek, liket twa dagen net op syk te kommen sûnder in befeiligingsbedriuw dat op in nij, driuwend probleem wiist.
Koartsein, it docht bliken dat it mooglik is om tsientallen ferzjes fan log4j - ynklusyf 2.16 - mei ien rigel (string) út te fieren om in ivige loop te begjinnen dy't de applikaasje crasht. De betingsten dêr't in omjouwing oan foldwaan moat om misbrûkt te wurden binne wiidweidich. Sa wiidweidich dat de praktyske earnst fan it probleem betwiste wurdt. De patch wurdt offisjeel oanrikkemandearre, mar net elkenien is oertsjûge.
Nochris, net elke eksimplaar fan Log4j is kwetsber, mar allinich gefallen wêr't de bibleteek rint op oanpaste ynstellings. In potinsjele oanfaller hat ek detaillearre ynsjoch nedich yn hoe't Log4j wurket. In tsjinstelling ta de earste, maklik tagonklike kwetsberens.