Neyðarplásturinn fyrir hið alræmda varnarleysi í Java bókasafninu Log4j er ekki pottþétt. Apache Software Foundation gefur út nýja útgáfu til að laga varnarleysið í eitt skipti fyrir öll.
Varnarleysi í gríðarlega vinsælu bókasafni fyrir Java er að hrista hið alþjóðlega upplýsingatæknilandslag. Áætlað er að bókasafnið sé til í flestum fyrirtækjaumhverfi.
Log4j er aðallega notað til skógarhöggs. Viðburði í umsóknum er hægt að skrá með athugasemdum. Hugsaðu um útprentun af innskráningarupplýsingum eftir innskráningartilraun. Eða, ef um er að ræða vefforrit í Java, nafn vafrans sem notandi er að reyna að tengjast.
Síðarnefndu dæmin eru algeng. Í báðum tilfellum hefur utanaðkomandi notandi áhrif á annálinn sem Log4j gefur út. Það er hægt að misnota þau áhrif. Skrár hvaða Log4j útgáfu sem er á milli 13. september 2013 og 5. desember 2021 geta gefið Java forritum fyrirmæli um að keyra kóðann frá ytri netþjóni á staðbundnu tæki.
Síðan 2013 hefur Log4j verið að vinna úr API: JNDI, eða Java nafna- og skráarviðmóti. Viðbót á JNDI gerir Java forriti kleift að keyra kóða frá ytri netþjóni á staðbundnu tæki. Forritarar leiðbeina með því að bæta við einni línu af upplýsingum um ytri netþjóninn í forriti.
Vandamálið er að ekki aðeins forritarar geta bætt reglunni við forrit. Segjum sem svo að Log4j skrái notendanöfn innskráningartilrauna. Þegar einhver slær inn fyrrnefnda línu í notendanafnareitinn keyrir Log4j línuna og Java forritið túlkar skipun um að keyra kóðann á tilgreindum netþjóni. Sama gildir um tilvik þar sem Log4j skráir HTTPS beiðni. Ef þú breytir vafraheiti í línuna keyrir Log4j línuna og gefur henni óbeint fyrirmæli um að keyra kóða eins og þú vilt.
Neyðarplástur getur líka verið óöruggur
Þann 9. desember kom varnarleysið í ljós í stórum stíl. Apache Software Foundation, þróunaraðili Log4j, gaf út neyðarplástur (2.15) til að laga varnarleysið. Síðan þá hefur það verið forgangsverkefni fyrir hugbúnaðarframleiðendur að vinna úr útgáfu 2.15 og útvega plástur fyrir stofnanir.
Öryggissamtökin LunaSec fullyrða hins vegar að plásturinn sé ekki alveg vatnsheldur. Það er áfram mögulegt að stilla stillingu og láta framkvæma skráðar JNDI skipanir.
Vinsamlegast athugið: viðeigandi stillingu verður að stilla handvirkt, þannig að óbreytt afbrigði af 2.15 séu örugglega örugg. Engu að síður mælir Luna Sec með því að birgjar og stofnanir uppfærir í Log4j 2.16. 2.16 var gefin út af Apache Software Foundation sem svar við LunaSec. Nýja útgáfan fjarlægir algjörlega viðkvæma stillinguna, sem gerir það ómögulegt að skapa skilyrði fyrir misnotkun.