Níl an paiste éigeandála don leochaileacht infamous i leabharlann Java Log4j foolproof. Tá Fondúireacht Bogearraí Apache ag scaoileadh leagan nua chun an leochaileacht a shocrú uair amháin agus do gach duine.
Tá leochaileacht i leabharlann a bhfuil an-tóir uirthi do Java ag croitheadh an tírdhreach domhanda TF. Meastar go bhfuil an leabharlann i bhformhór na dtimpeallachtaí corparáideacha.
Úsáidtear Log4j go príomha le haghaidh logáil. Is féidir imeachtaí in iarratais a chlárú le nótaí. Smaoinigh ar asphrionta de na sonraí logáil isteach tar éis iarracht logáil isteach. Nó, i gcás feidhmchlár gréasáin i Java, ainm an bhrabhsálaí a bhfuil úsáideoir ag iarraidh ceangal leis.
Tá na samplaí deiridh coitianta. Sa dá chás, bíonn tionchar ag úsáideoir seachtrach ar an logáil a aschuir Log4j. Is féidir mí-úsáid a bhaint as an tionchar sin. Is féidir le logaí aon leagan Log4j idir 13 Meán Fómhair, 2013 agus 5 Nollaig, 2021 treoir a thabhairt d’fheidhmchláir Java an cód a rith ó chianfhreastalaí ar ghléas áitiúil.
Ó 2013 i leith, tá Log4j ag próiseáil API: JNDI, nó Comhéadan Ainmniúcháin agus Eolaire Java. Má chuirtear JNDI leis, is féidir le feidhmchlár Java cód a rith ó chianfhreastalaí ar ghléas áitiúil. Treoraíonn ríomhchláraitheoirí trí líne aonair sonraí faoin gcianfhreastalaí a chur leis in iarratas.
Is í an fhadhb atá ann nach bhfuil ach ríomhchláraitheoirí in ann a chur leis an riail le hiarratais. Abair go logálann Log4j ainmneacha úsáideoirí na n-iarrachtaí logáil isteach. Nuair a théann duine isteach sa líne thuasluaite sa réimse ainm úsáideora, ritheann Log4j an líne agus léirmhíníonn an t-iarratas Java ordú chun an cód a rith ar an bhfreastalaí sonraithe. Baineann an rud céanna le cásanna ina logálann Log4j iarratas HTTPS. Má athraíonn tú ainm brabhsálaí go dtí an líne, ritheann Log4j an líne, ag tabhairt treoir dó go hindíreach cód a rith mar is mian leis.
Is féidir le paiste éigeandála a bheith neamhshábháilte freisin
Ar 9 Nollaig, tháinig an leochaileacht chun solais ar scála mór. D'eisigh Fondúireacht Bogearraí Apache, forbróir Log4j, paiste éigeandála (2.15) chun an leochaileacht a shocrú. Ó shin i leith, tá sé mar thosaíocht ag díoltóirí bogearraí leagan 2.15 a phróiseáil agus paiste a sholáthar d’eagraíochtaí.
Mar sin féin, deir an eagraíocht slándála LunaSec nach bhfuil an paiste go hiomlán uiscedhíonta. Is féidir i gcónaí socrú a choigeartú agus orduithe JNDI logáilte a chur i gcrích.
Tabhair faoi deara le do thoil: ní mór an socrú ábhartha a choigeartú de láimh, ionas go mbeidh leaganacha neamhathraithe de 2.15 sábháilte go deimhin. Mar sin féin, molann Luna Sec go ndéanfadh soláthraithe agus eagraíochtaí nuashonrú ar Log4j 2.16. Foilsíodh 2.16 ag Apache Software Foundation mar fhreagra ar LunaSec. Baineann an leagan nua go hiomlán as an suíomh leochaileach, rud a fhágann go bhfuil sé dodhéanta na coinníollacha mí-úsáide a chruthú.