Enpak vilnerabilite a trist nan bibliyotèk Java Log4j trennen sou. Malgre ke pi gwo pwoblèm nan te rezoud ak patch ijan 2.16, vèsyon sa a parèt tou sansib a abi. Chèchè sekirite yo te jwenn yon antre pou atak refi sèvis (DoS). Log4j 2.17 te pibliye pou fèmen antre a.
Apache, pwomotè bibliyotèk Java a, konseye òganizasyon yo pou aplike patch ijans lan. Konsèy sa a aplike pou twazyèm fwa depi yo te jwenn bibliyotèk la vilnerab.
Yon semèn ak yon mwatye de sa, chèchè sekirite soti nan Alibaba la cloud ekip sekirite devwale yon metòd pou abize aplikasyon yo ak Log4j. Log4j yo itilize nan aplikasyon pou konekte evènman yo. Li te tounen posib jwenn aksè nan aplikasyon ak bibliyotèk la soti deyò ak enstriksyon pou egzekite malveyan. Abi pran ti kras plis pase yon menen. Anplis de sa, estime ensidan bibliyotèk la nan pifò anviwònman antrepriz epi ou konprann echèl dezas la ap fè fas a peyizaj IT mondyal la.
Devlopè lojisyèl tankou Fortinet, Cisco, IBM ak plizyè douzèn lòt moun itilize bibliyotèk la nan lojisyèl yo. Devlopè yo te travay siplemantè pandan wikenn 11 desanm nan pou trete premye patch ijans pou vilnerabilite a epi pou yo livre li bay òganizasyon itilizatè yo. Egzakteman menm derive a te espere nan men ekip IT yo nan òganizasyon sa yo. Dè santèn de milye tantativ atak te fèt atravè lemond. Tout moun te oblije chanje a 2.15 pi vit ke posib - jiskaske 2.15 te tou jwenn vilnerab.
Sèten konfigirasyon bibliyotèk la rete posib nan vèsyon 2.15. Sèvi ak konfigirasyon sa yo perpétuer vilnerabilite a. Vèsyon 2.16 te fè konfigirasyon yo enposib, garanti yon nouvo patch. Souvan nan chagren nan ekip IT deja twòp travay. Sepandan, li ka toujou pi mal, paske 2.16 tou gen yon maladi.
Retounen pou kòmanse
Atansyon mondyal masiv nan pwoblèm nan te pouse ankèt masiv atravè lemond. Apache, pwomotè bibliyotèk la, pa ka pran souf li pandan de jou san yon konpayi sekirite ki montre yon nouvo pwoblèm ijan.
Nan ti bout tan, li sanble ke li posib yo kouri plizyè douzèn vèsyon nan log4j - ki gen ladan 2.16 - ak yon sèl liy (fisèl) yo kòmanse yon bouk p'ap janm fini an ki fè aksidan aplikasyon an. Kondisyon yon anviwonman dwe rankontre pou yo ka abize yo anpil. Se konsa vaste ke gravite a pratik nan pwoblèm nan diskite. Patch la rekòmande ofisyèlman, men se pa tout moun konvenki.
Yon fwa ankò, se pa tout egzanp Log4j ki vilnerab, men se sèlman ka kote bibliyotèk la ap kouri sou anviwònman koutim. Yon atakè potansyèl bezwen tou insight detaye sou fason Log4j travay. Yon kontras ak vilnerabilite inisyal la, fasil aksesib.