Faci na gaggawa don rashin lahani a cikin ɗakin karatu na Java Log4j ba shi da wawa. Gidauniyar Software ta Apache tana fitar da sabon sigar don gyara raunin sau ɗaya kuma gaba ɗaya.
Rashin lahani a cikin mashahurin ɗakin karatu na Java yana girgiza yanayin IT na duniya. An ƙiyasta cewa ɗakin karatu yana wanzuwa a yawancin mahallin kamfanoni.
Log4j galibi ana amfani dashi don shiga. Abubuwan da ke faruwa a aikace-aikacen za a iya yin rajista tare da bayanin kula. Yi tunanin buga bayanan shiga bayan yunƙurin shiga. Ko, a yanayin aikace-aikacen yanar gizo a Java, sunan mashigin da mai amfani ke ƙoƙarin haɗawa da shi.
Misalai na ƙarshe na kowa. A cikin lokuta biyu, mai amfani na waje yana rinjayar log ɗin da Log4j ke fitarwa. Yana yiwuwa a yi amfani da wannan tasirin. Rajistar kowane nau'in Log4j tsakanin Satumba 13, 2013 da Disamba 5, 2021 suna iya ba da umarni aikace-aikacen Java don gudanar da lambar daga sabar mai nisa akan na'urar gida.
Tun daga 2013, Log4j yana sarrafa API: JNDI, ko Sunan Java da Interface Interface. Ƙarin JNDI yana ba da damar aikace-aikacen Java don gudanar da lamba daga uwar garken nesa akan na'urar gida. Masu shirye-shirye suna koyarwa ta ƙara layi ɗaya na cikakkun bayanai game da uwar garken nesa a cikin aikace-aikacen.
Matsalar ita ce ba masu shirye-shirye kawai ke iya ƙara ƙa'idar zuwa aikace-aikacen ba. Ace Log4j yayi rajistar sunayen masu amfani na ƙoƙarin shiga. Lokacin da wani ya shiga layin da aka ambata a cikin filin sunan mai amfani, Log4j yana gudanar da layin kuma aikace-aikacen Java yana fassara umarni don gudanar da lambar akan sabar da aka ƙayyade. Hakanan yana faruwa ga lokuta inda Log4j ke yin rajistar buƙatun HTTPS. Idan ka canza sunan mai bincike zuwa layin, Log4j yana gudanar da layin, a kaikaice yana ba shi umarni don gudanar da lamba kamar yadda ake so.
Facin gaggawa kuma na iya zama mara lafiya
A ranar 9 ga Disamba, raunin da ya faru ya fito fili a kan babban sikelin. Gidauniyar Software ta Apache, mai haɓaka Log4j, ta fitar da facin gaggawa (2.15) don gyara raunin. Tun daga wannan lokacin, ya kasance babban fifiko ga masu siyar da software don aiwatar da sigar 2.15 da samar da faci ga ƙungiyoyi.
Koyaya, ƙungiyar tsaro LunaSec ta bayyana cewa facin bai cika ruwa ba. Zai yuwu a daidaita saiti kuma an aiwatar da umarnin JNDI.
Lura: dole ne a gyara saitin da ya dace da hannu, ta yadda bambance-bambancen 2.15 da ba a canza su ba su da aminci. Koyaya, Luna Sec ya ba da shawarar cewa masu kaya da ƙungiyoyi su sabunta zuwa Log4j 2.16. 2.16 aka buga ta Apache Software Foundation a mayar da martani ga LunaSec. Sabuwar sigar gaba ɗaya tana kawar da saiti mara ƙarfi, yana sa ba zai yiwu a ƙirƙiri yanayin cin zarafi ba.