Tarraingíonn tionchar na leochaileachta míchlúiteach i leabharlann Java Log4j ar aghaidh. Cé gur réitíodh an fhadhb is mó le paiste práinneach 2.16, is cosúil go bhfuil an leagan seo so-ghabhálach do mhí-úsáid freisin. D'aimsigh taighdeoirí slándála bealach isteach d'ionsaithe Séanta Seirbhíse (DoS). Foilsíodh Log4j 2.17 chun an iontráil a dhúnadh.
Tugann Apache, forbróir leabharlann Java, comhairle d'eagraíochtaí an paiste éigeandála a chur i bhfeidhm. Baineann an chomhairle sin leis an tríú huair ó fuarthas amach go raibh an leabharlann leochaileach.
Seachtain go leith ó shin, rinne taighdeoirí slándála ó Alibaba's cloud nocht an fhoireann slándála modh chun feidhmchláir a mhí-úsáid le Log4j. Úsáidtear Log4j in feidhmchláir chun imeachtaí a logáil. Tharla sé go raibh sé indéanta feidhmchláir a rochtain leis an leabharlann ón taobh amuigh le treoracha maidir le malware a dhéanamh. Ní thógann mí-úsáid ach beagán níos mó ná léim. Cuir leis sin tarlú measta na leabharlainne sa chuid is mó de thimpeallachtaí corparáideacha agus tuigeann tú scála na tubaiste atá roimh an tírdhreach domhanda TF.
Úsáideann forbróirí bogearraí ar nós Fortinet, Cisco, IBM agus mórán daoine eile an leabharlann ina gcuid bogearraí. D'oibrigh a bhforbróirí ragobair thar an deireadh seachtaine 11 Nollaig chun an chéad paiste éigeandála don leochaileacht a phróiseáil agus é a sheachadadh chuig eagraíochtaí úsáideoirí. Bhíothas ag súil go díreach leis an imeacht céanna ó na foirne TF laistigh de na heagraíochtaí seo. Rinneadh na céadta míle iarracht ionsaithe ar fud an domhain. Bhí ar gach duine aistriú go 2.15 chomh luath agus ab fhéidir – go dtí go bhfuarthas amach go raibh 2.15 leochaileach freisin.
Bhí cumraíochtaí áirithe den leabharlann fós indéanta i leagan 2.15. Ag baint úsáide as na cumraíochtaí seo buanú an leochaileacht. Rinne Leagan 2.16 na cumraíochtaí dodhéanta, ag ráthú paiste nua. Go minic is cúis imní iad na foirne TF atá ró-oibrithe cheana féin. Mar sin féin, is féidir é a bheith níos measa i gcónaí, toisc go bhfuil ailment ag 2.16 freisin.
Ar ais go tús
Spreag an aird ollmhór domhanda ar an bhfadhb imscrúdú ollmhór ar fud an domhain. Is cosúil nach bhféadfadh Apache, forbróir na leabharlainne, a anáil a ghlacadh ar feadh dhá lá gan comhlacht slándála ag cur in iúl fadhb nua phráinneach.
I mbeagán focal, tarlaíonn sé gur féidir mórán leaganacha de log4j a rith – lena n-áirítear 2.16 – le líne amháin (teaghrán) chun lúb shíoraí a thosú a thuairteann an feidhmchlár. Is fairsing na coinníollacha nach mór do thimpeallacht a chomhlíonadh chun mí-úsáid a bhaint astu. Chomh fairsing sin go bhfuil conspóid faoi thromchúis phraiticiúil na faidhbe. Moltar an paiste go hoifigiúil, ach níl gach duine ina luí.
Arís, níl gach cás de Log4j leochaileach, ach cásanna ina bhfuil an leabharlann ag rith ar shocruithe saincheaptha amháin. Teastaíonn léargas mionsonraithe ó ionsaitheoir féideartha freisin ar an gcaoi a n-oibríonn Log4j. Codarsnacht leis an leochaileacht tosaigh atá inrochtana go héasca.