Chan eil am pìos èiginn airson an so-leòntachd mì-chliùiteach ann an leabharlann Java Log4j mì-mhodhail. Tha an Apache Software Foundation a’ cur a-mach dreach ùr gus so-leòntachd a chàradh uair is uair.
Tha so-leòntachd ann an leabharlann mòr-chòrdte airson Java a’ toirt crathadh air cruth-tìre IT na cruinne. Thathas den bheachd gu bheil an leabharlann ann anns a’ mhòr-chuid de àrainneachdan corporra.
Tha Log4j air a chleachdadh sa mhòr-chuid airson logadh. Faodar tachartasan ann an tagraidhean a chlàradh le notaichean. Smaoinich air clò-bhualadh den fhiosrachadh logaidh a-steach às deidh oidhirp logadh a-steach. No, a thaobh tagradh lìn ann an Java, ainm a’ bhrobhsair a tha neach-cleachdaidh a’ feuchainn ri ceangal ris.
Tha na h-eisimpleirean mu dheireadh cumanta. Anns gach cùis, tha neach-cleachdaidh bhon taobh a-muigh a 'toirt buaidh air a' log a bhios Log4j a 'toirt a-mach. Tha e comasach droch bhuaidh a thoirt air a’ bhuaidh sin. Faodaidh logaichean dreach Log4j sam bith eadar 13 Sultain, 2013 agus 5 Dùbhlachd, 2021 stiùireadh a thoirt do thagraidhean Java an còd a ruith bho fhrithealaiche iomallach air inneal ionadail.
Bho 2013, tha Log4j air a bhith a’ giullachd API: JNDI, no Java Nameing and Directory Interface. Tha cur-ris JNDI a’ leigeil le tagradh Java còd a ruith bho fhrithealaiche iomallach air inneal ionadail. Bidh luchd-prògramaidh a’ stiùireadh le bhith a’ cur aon loidhne de dh’ fhiosrachadh mun t-seirbheisiche iomallach ann an tagradh.
Is e an duilgheadas a th’ ann nach e a-mhàin luchd-prògramaidh a tha comasach air an riaghailt a chuir ri tagraidhean. Can gu bheil Log4j a’ logadh ainmean-cleachdaidh nan oidhirpean logadh a-steach. Nuair a thèid cuideigin a-steach don loidhne a chaidh ainmeachadh anns an raon ainm neach-cleachdaidh, bidh Log4j a’ ruith na loidhne agus bidh an tagradh Java ag eadar-mhìneachadh àithne gus an còd a ruith air an t-seirbheisiche ainmichte. Tha an aon rud fìor airson cùisean far a bheil Log4j a’ clàradh iarrtas HTTPS. Ma dh’ atharraicheas tu ainm brobhsair chun loidhne, bidh Log4j a’ ruith na loidhne, gu neo-dhìreach ag iarraidh air còd a ruith mar a thogras tu.
Faodaidh bad èiginn a bhith cunnartach cuideachd
Air 9 Dùbhlachd, thàinig an so-leòntachd am follais air sgèile mhòr. Sgaoil an Apache Software Foundation, leasaiche Log4j, bad èiginn (2.15) gus an so-leòntachd a chàradh. Bhon uairsin, tha e air a bhith na àrd phrìomhachas do luchd-reic bathar-bog dreach 2.15 a phròiseasadh agus bad a thoirt do bhuidhnean.
Ach, tha a’ bhuidheann tèarainteachd LunaSec ag ràdh nach eil am paiste gu tur dìonach. Tha e fhathast comasach suidheachadh atharrachadh agus òrdughan JNDI a chlàradh a chuir gu bàs.
Thoir an aire: feumar an suidheachadh iomchaidh atharrachadh le làimh, gus am bi tionndaidhean neo-atharraichte de 2.15 gu dearbh sàbhailte. Ach a dh’ aindeoin sin, tha Luna Sec a’ moladh gun ùraich solaraichean agus buidhnean gu Log4j 2.16. 2.16 fhoillseachadh le Apache Software Foundation mar fhreagairt do LunaSec. Bidh an dreach ùr gu tur a’ toirt air falbh an suidheachadh so-leònte, ga dhèanamh do-dhèanta suidheachaidhean airson droch dhìol a chruthachadh.