Log4j 2.16 viðkvæmt fyrir DoS árásum, brýn plástur 2.17 mælt með

Áhrif hins alræmda varnarleysis í Java bókasafninu Log4j dragast á langinn. Þrátt fyrir að stærsta vandamálið hafi verið leyst með brýnum plástri 2.16, virðist þessi útgáfa einnig vera næm fyrir misnotkun. Öryggisrannsakendur fundu aðgang fyrir afneitun þjónustu (DoS) árásir. Log4j 2.17 hefur verið birt til að loka færslunni.

Apache, þróunaraðili Java bókasafnsins, ráðleggur fyrirtækjum að nota neyðarplásturinn. Sú ráðgjöf á við í þriðja sinn frá því að bókasafnið reyndist viðkvæmt.

Fyrir einni og hálfri viku síðan, öryggisrannsakendur frá Alibaba cloud öryggisteymi afhjúpaði aðferð til að misnota forrit með Log4j. Log4j er notað í forritum til að skrá atburði. Það reyndist vera hægt að nálgast forrit með bókasafninu utan frá með leiðbeiningum um að keyra spilliforrit. Misnotkun tekur lítið annað en smástund. Bættu við því áætluðu tilviki bókasafnsins í flestum fyrirtækjaumhverfi og þú skilur umfang þeirra hörmunga sem blasir við alþjóðlegu upplýsingatæknilandslaginu.

Hugbúnaðarframleiðendur eins og Fortinet, Cisco, IBM og tugir annarra nota bókasafnið í hugbúnaðinum sínum. Hönnuðir þeirra unnu yfirvinnu helgina 11. desember til að vinna úr fyrsta neyðarplástrinum fyrir varnarleysið og afhenda það notendasamtökum. Búist var við nákvæmlega sama reki frá upplýsingatækniteymunum innan þessara stofnana. Hundruð þúsunda árásstilrauna áttu sér stað um allan heim. Allir þurftu að skipta yfir í 2.15 eins fljótt og auðið var – þar til 2.15 reyndist einnig viðkvæmt.

Ákveðnar uppsetningar á bókasafninu voru áfram mögulegar í útgáfu 2.15. Með því að nota þessar stillingar viðheldur varnarleysið. Útgáfa 2.16 gerði stillingarnar ómögulegar og tryggði nýjan plástur. Oft til gremju þegar yfirvinnuð upplýsingatækniteymi. Hins vegar getur það alltaf verið verra, því 2.16 er líka með kvilla.

Aftur til að byrja

Hin mikla alþjóðlega athygli á vandamálinu olli gríðarlegri rannsókn um allan heim. Apache, verktaki bókasafnsins, virðist ekki geta náð andanum í tvo daga án þess að öryggisfyrirtæki hafi bent á nýtt, brýnt vandamál.

Í stuttu máli kemur í ljós að það er hægt að keyra heilmikið af útgáfum af log4j – þar á meðal 2.16 – með einni línu (streng) til að hefja eilífa lykkju sem hrynur forritið. Skilyrðin sem umhverfi þarf að uppfylla til að vera misnotað eru víðtæk. Svo umfangsmikið að deilt er um praktískan alvarleika vandans. Opinberlega er mælt með plástrinum, en ekki eru allir sannfærðir.

Aftur, ekki hvert tilvik af Log4j er viðkvæmt, heldur aðeins tilvik þar sem bókasafnið keyrir á sérsniðnum stillingum. Mögulegur árásarmaður þarf einnig nákvæma innsýn í hvernig Log4j virkar. Andstæða við upphaflega, aðgengilega varnarleysið.