Patch ijans pou vilnerabilite trist nan bibliyotèk Java Log4j pa enfayil. Apache Software Foundation ap pibliye yon nouvo vèsyon pou ranje vilnerabilite a yon fwa pou tout.
Yon vilnerabilite nan yon bibliyotèk trè popilè pou Java ap souke peyizaj IT mondyal la. Yo estime ke bibliyotèk la egziste nan pifò anviwònman antrepriz.
Log4j se sitou itilize pou antre. Evènman nan aplikasyon yo ka anrejistre ak nòt. Panse a yon enprime detay yo konekte apre yon tantativ konekte. Oswa, nan ka a nan yon aplikasyon entènèt nan Java, non an nan navigatè a yon itilizatè ap eseye konekte ak.
Dènye egzanp yo komen. Nan de ka yo, yon itilizatè ekstèn enfliyanse boutèy demi lit ke Log4j pwodui. Li posib pou abize enfliyans sa a. Jounal nenpòt vèsyon Log4j ant 13 septanm 2013 ak 5 desanm 2021 kapab bay aplikasyon Java yo enstriksyon pou yo kouri kòd la nan yon sèvè aleka sou yon aparèy lokal.
Depi 2013, Log4j ap trete yon API: JNDI, oswa Java Naming and Directory Interface. Anplis de JNDI a pèmèt yon aplikasyon Java kouri kòd soti nan yon sèvè aleka sou yon aparèy lokal. Pwogramè yo enstwi lè yo ajoute yon liy sèl nan detay sou sèvè a aleka nan yon aplikasyon.
Pwoblèm lan se ke pa sèlman pwogramasyon yo kapab ajoute règ la nan aplikasyon yo. Sipoze Log4j anrejistre non itilizatè yo nan tantativ konekte. Lè yon moun antre nan liy ki endike anwo a nan jaden non itilizatè a, Log4j kouri liy lan ak aplikasyon Java a entèprete yon lòd pou kouri kòd la sou sèvè espesifye a. Menm bagay la tou ale pou ka kote Log4j anrejistre yon demann HTTPS. Si ou chanje non yon navigatè nan liy lan, Log4j kouri liy lan, endirèkteman enstwi li nan kouri kòd jan ou vle.
Patch ijans kapab tou pa an sekirite
Sou 9 desanm, vilnerabilite a te vin parèt sou yon gwo echèl. Apache Software Foundation, pwomotè Log4j, te pibliye yon patch ijans (2.15) pou ranje vilnerabilite a. Depi lè sa a, li te yon pi gwo priyorite pou vandè lojisyèl yo trete vèsyon 2.15 epi bay yon patch pou òganizasyon yo.
Sepandan, òganizasyon sekirite LunaSec deklare ke patch la pa konplètman étanche. Li rete posib pou ajiste yon paramèt epi fè kòmandman JNDI ki konekte yo egzekite.
Tanpri sonje: anviwònman an ki enpòtan yo dwe ajiste manyèlman, se konsa ke varyant ki pa modifye nan 2.15 yo tout bon an sekirite. Men, Luna Sec rekòmande pou founisè ak òganizasyon mete ajou Log4j 2.16. 2.16 te pibliye pa Apache Software Foundation an repons a LunaSec. Nouvo vèsyon an konplètman retire anviwònman vilnerab la, sa ki fè li enposib kreye kondisyon yo pou abi.