Hitna zakrpa za zloglasnu ranjivost u Java biblioteci Log4j nije sigurna. Apache Software Foundation objavljuje novu verziju kako bi jednom zauvijek riješila ranjivost.
Ranjivost u iznimno popularnoj biblioteci za Javu potresa globalni IT krajolik. Procjenjuje se da knjižnica postoji u većini korporativnih okruženja.
Log4j se uglavnom koristi za logovanje. Događaji u aplikacijama mogu se registrirati s bilješkama. Zamislite ispis podataka za prijavu nakon pokušaja prijave. Ili, u slučaju web aplikacije u Javi, naziv preglednika s kojim se korisnik pokušava povezati.
Potonji primjeri su uobičajeni. U oba slučaja, vanjski korisnik utječe na zapisnik koji Log4j izlazi. Taj utjecaj je moguće zloupotrijebiti. Zapisnici bilo koje verzije Log4j između 13. rujna 2013. i 5. prosinca 2021. mogu uputiti Java aplikacijama da pokrenu kod s udaljenog poslužitelja na lokalnom uređaju.
Od 2013. Log4j obrađuje API: JNDI ili Java sučelje imenovanja i imenika. Dodavanje JNDI omogućuje Java aplikaciji pokretanje koda s udaljenog poslužitelja na lokalnom uređaju. Programeri podučavaju dodavanjem jednog retka pojedinosti o udaljenom poslužitelju u aplikaciji.
Problem je u tome što ne samo programeri mogu dodati pravilo aplikacijama. Pretpostavimo da Log4j bilježi korisnička imena pokušaja prijave. Kada netko unese gore spomenuti redak u polje korisničkog imena, Log4j pokreće liniju i Java aplikacija tumači naredbu za pokretanje koda na navedenom poslužitelju. Isto vrijedi i za slučajeve u kojima Log4j bilježi HTTPS zahtjev. Ako promijenite naziv preglednika u redak, Log4j pokreće redak, neizravno ga upućuje da pokrene kod prema želji.
Flaster za hitne slučajeve također može biti nesiguran
9. prosinca ranjivost je izašla na vidjelo u velikim razmjerima. Apache Software Foundation, programer Log4j, objavio je hitnu zakrpu (2.15) kako bi popravio ranjivost. Od tada je najveći prioritet za dobavljače softvera da obrađuju verziju 2.15 i daju zakrpu za organizacije.
Međutim, iz sigurnosne organizacije LunaSec navode da flaster nije potpuno vodootporan. Ostaje moguće prilagoditi postavku i izvršiti prijavljene JNDI naredbe.
Imajte na umu: relevantna se postavka mora podesiti ručno, tako da su neizmijenjene varijante 2.15 doista sigurne. Ipak, Luna Sec preporučuje dobavljačima i organizacijama ažuriranje na Log4j 2.16. 2.16 objavila je Apache Software Foundation kao odgovor na LunaSec. Nova verzija u potpunosti uklanja ranjivu postavku, što onemogućuje stvaranje uvjeta za zlouporabu.