Tha buaidh an so-leòntachd mì-chliùiteach ann an leabharlann Java Log4j a’ slaodadh air. Ged a chaidh an duilgheadas as motha fhuasgladh le bad èiginneach 2.16, tha e coltach gu bheil an dreach seo cuideachd buailteach do dhroch dhìol. Lorg luchd-rannsachaidh tèarainteachd slighe a-steach airson ionnsaighean diùltadh seirbheis (DoS). Chaidh Log4j 2.17 fhoillseachadh gus an inntrigeadh a dhùnadh.
Tha Apache, leasaiche leabharlann Java, a’ comhairleachadh bhuidhnean am bad èiginn a chuir an sàs. Tha a’ chomhairle sin a’ buntainn airson an treas uair bho chaidh a lorg gu robh an leabharlann so-leònte.
O chionn seachdain gu leth, rinn luchd-rannsachaidh tèarainteachd bho Alibaba's cloud nochd sgioba tèarainteachd dòigh airson ana-cleachdadh a dhèanamh air tagraidhean le Log4j. Tha Log4j air a chleachdadh ann an tagraidhean airson tachartasan a chlàradh. Thionndaidh e a-mach gu robh e comasach faighinn gu tagraidhean leis an leabharlann bhon taobh a-muigh le stiùireadh airson malware a chuir an gnìomh. Cha toir droch dhìol ach beagan a bharrachd. Cuir ris an sin na tha an leabharlann a’ tachairt anns a’ mhòr-chuid de àrainneachdan corporra agus tuigidh tu meud na mòr-thubaist a tha mu choinneimh cruth-tìre IT na cruinne.
Bidh luchd-leasachaidh bathar-bog leithid Fortinet, Cisco, IBM agus dusanan eile a’ cleachdadh an leabharlainn anns a’ bhathar-bog aca. Dh ’obraich an luchd-leasachaidh aca ùine a bharrachd thairis air an deireadh-sheachdain 11 Dùbhlachd gus a’ chiad raon èiginn a phròiseasadh airson so-leòntachd agus a lìbhrigeadh do bhuidhnean luchd-cleachdaidh. Bha dùil ris an aon ghluasad bho na sgiobaidhean IT taobh a-staigh nam buidhnean sin. Chaidh na ceudan mhìltean de dh’ oidhirpean ionnsaigh a dhèanamh air feadh an t-saoghail. Bha aig a h-uile duine ri gluasad gu 2.15 cho luath ‘s a ghabhas - gus an deach 2.15 a lorg cuideachd so-leònte.
Bha rèiteachaidhean sònraichte den leabharlann fhathast comasach ann an dreach 2.15. Le bhith a’ cleachdadh nan rèiteachaidhean sin lean an so-leòntachd. Rinn dreach 2.16 na rèiteachaidhean do-dhèanta, a’ gealltainn bad ùr. Gu math tric an urra ri sgiobaidhean IT a tha ag obair ro mhòr. Ach, faodaidh e a bhith nas miosa an-còmhnaidh, oir tha tinneas aig 2.16 cuideachd.
Air ais airson tòiseachadh
Bhrosnaich an aire mhòr chruinneil don duilgheadas sgrùdadh mòr air feadh an t-saoghail. Chan eil coltas gu bheil Apache, leasaiche an leabharlainn, a’ glacadh anail airson dà latha às aonais companaidh tèarainteachd a’ comharrachadh duilgheadas ùr, èiginneach.
Ann an ùine ghoirid, tha e a ’tionndadh a-mach gu bheil e comasach dusanan de dhreachan de log4j a ruith - a’ toirt a-steach 2.16 - le aon loidhne (sreang) gus lùb shìorraidh a thòiseachadh a bhuaileas an tagradh. Tha na suidheachaidhean a dh’ fheumas àrainneachd a choinneachadh airson a bhith air an ana-cleachdadh farsaing. Cho farsaing is gu bheil connspaid ann mu cho dona sa tha an duilgheadas. Tha am paiste air a mholadh gu h-oifigeil, ach chan eil a h-uile duine cinnteach.
A-rithist, chan eil a h-uile suidheachadh de Log4j so-leònte, ach dìreach cùisean far a bheil an leabharlann a’ ruith air roghainnean àbhaisteach. Feumaidh neach-ionnsaigh cuideachd sealladh mionaideach air mar a tha Log4j ag obair. Eadar-dhealaichte bhon chiad so-leòntachd a tha furasta faighinn thuige.