Qhov xwm txheej kub ntxhov rau qhov tsis zoo ntawm qhov tsis zoo hauv Java tsev qiv ntawv Log4j tsis yog qhov tsis zoo. Apache Software Foundation tab tom tso tawm ib qho tshiab los kho qhov tsis zoo ib zaug thiab rau tag nrho.
Qhov tsis zoo hauv lub tsev qiv ntawv nrov nrov rau Java tab tom ua rau lub ntiaj teb IT toj roob hauv pes. Nws yog kwv yees tias lub tsev qiv ntawv muaj nyob rau hauv feem ntau cov koom haum ib puag ncig.
Log4j feem ntau yog siv rau kev txiav. Cov xwm txheej hauv daim ntawv thov tuaj yeem sau npe nrog cov ntawv sau. Xav txog cov ntawv luam tawm ntawm tus ID nkag mus tom qab kev sim nkag mus. Los yog, nyob rau hauv cov ntaub ntawv ntawm ib tug web daim ntawv thov nyob rau hauv Java, lub npe ntawm tus browser tus neeg siv yog sim mus cuag.
Cov piv txwv tom qab no muaj ntau. Hauv ob qho xwm txheej, tus neeg siv sab nraud cuam tshuam lub cav uas Log4j tso tawm. Nws muaj peev xwm tsim txom lub hwj chim ntawd. Cov cav ntawm ib qho Log4j version ntawm lub Cuaj Hlis 13, 2013 thiab Lub Kaum Ob Hlis 5, 2021 muaj peev xwm qhia Java cov ntawv thov kom khiav cov cai los ntawm cov chaw taws teeb chaw taws teeb ntawm cov khoom siv hauv zos.
Txij li xyoo 2013, Log4j tau ua tiav API: JNDI, lossis Java Naming thiab Directory Interface. Qhov sib ntxiv ntawm JNDI tso cai rau ib daim ntawv thov Java los khiav cov cai los ntawm cov chaw taws teeb chaw taws teeb ntawm cov khoom siv hauv zos. Programmers qhia los ntawm kev ntxiv ib kab ntawm cov ntsiab lus hais txog cov chaw taws teeb server hauv ib daim ntawv thov.
Qhov teeb meem yog tias tsis yog programmers tuaj yeem ntxiv txoj cai rau cov ntawv thov. Piv txwv tias Log4j teev cov npe siv ntawm kev sim nkag. Thaum ib tug neeg nkag mus rau cov kab hais saum toj no hauv lub npe neeg siv teb, Log4j khiav kab thiab Java daim ntawv thov txhais cov lus txib kom khiav cov cai ntawm lub server teev. Tib yam mus rau cov xwm txheej uas Log4j teev qhov kev thov HTTPS. Yog tias koj hloov lub npe browser rau kab, Log4j khiav txoj kab, indirectly qhia nws kom khiav code raws li qhov xav tau.
Kev kho mob xwm txheej ceev kuj tuaj yeem ua rau tsis zoo
Thaum Lub Kaum Ob Hlis 9, qhov tsis txaus ntseeg tau tshwm sim rau ntawm qhov loj. Lub Apache Software Foundation, tus tsim tawm ntawm Log4j, tau tso tawm qhov xwm txheej ceev (2.15) txhawm rau kho qhov tsis zoo. Txij thaum ntawd los, nws yog qhov tseem ceeb tshaj plaws rau cov neeg muag khoom software los ua cov txheej txheem version 2.15 thiab muab ib thaj rau cov koom haum.
Txawm li cas los xij, lub koom haum kev ruaj ntseg LunaSec hais tias thaj tsam tsis yog dej tsis huv. Nws tseem muaj peev xwm kho qhov teeb tsa thiab kom nkag mus rau JNDI cov lus txib raug tua.
Thov nco ntsoov: qhov teeb meem cuam tshuam yuav tsum tau hloov kho manually, kom tsis txhob hloov pauv hloov pauv ntawm 2.15 muaj kev nyab xeeb tiag tiag. Txawm li cas los xij, Luna Sec xav kom cov neeg muag khoom thiab cov koom haum hloov kho rau Log4j 2.16. 2.16 tau luam tawm los ntawm Apache Software Foundation teb rau LunaSec. Tus tshiab version tshem tawm tag nrho cov kev teeb tsa yooj yim, ua rau nws tsis tuaj yeem tsim cov xwm txheej rau kev tsim txom.