Tembelan darurat kanggo kerentanan sing kondhang ing perpustakaan Jawa Log4j ora gampang. Yayasan Perangkat Lunak Apache ngeculake versi anyar kanggo ndandani kerentanan sapisan lan kanggo kabeh.
Kerentanan ing perpustakaan sing populer banget ing Jawa nggegirisi lanskap IT global. Diperkirakan perpustakaan ana ing umume lingkungan perusahaan.
Log4j utamane digunakake kanggo logging. Acara ing aplikasi bisa didaftar nganggo cathetan. Coba printout rincian login sawise nyoba mlebu. Utawa, ing kasus aplikasi web ing Jawa, jeneng browser sing arep disambungake pangguna.
Conto pungkasan iku umum. Ing kasus loro, pangguna eksternal mengaruhi log sing Log4j metu. Sampeyan bisa nggunakake pengaruh kasebut. Log versi Log4j apa wae ing antarane 13 September 2013 lan 5 Desember 2021 bisa nuntun aplikasi Java kanggo mbukak kode saka server remot ing piranti lokal.
Wiwit 2013, Log4j wis ngolah API: JNDI, utawa Java Naming and Directory Interface. Kajaba saka JNDI ngidini aplikasi Java kanggo mbukak kode saka server remot ing piranti lokal. Programer nglatih kanthi nambahake siji baris rincian babagan server remot ing aplikasi.
Masalahe yaiku ora mung programer sing bisa nambah aturan kasebut menyang aplikasi. Upamane Log4j nyathet jeneng panganggo saka upaya mlebu. Nalika wong ngetik baris kasebut ing kolom jeneng panganggo, Log4j mbukak baris lan aplikasi Java kokwaca printah kanggo mbukak kode ing server kasebut. Padha uga kanggo kasus nalika Log4j nyathet panjalukan HTTPS. Yen sampeyan ngganti jeneng browser kanggo baris, Log4j mbukak baris, ora langsung instructing kanggo mbukak kode kaya sing dikarepake.
Patch darurat bisa uga ora aman
Tanggal 9 Desember, kerentanan kasebut katon ing skala gedhe. Yayasan Perangkat Lunak Apache, pangembang Log4j, ngrilis patch darurat (2.15) kanggo ndandani kerentanan kasebut. Wiwit iku, dadi prioritas utama vendor piranti lunak kanggo ngolah versi 2.15 lan menehi tembelan kanggo organisasi.
Nanging, organisasi keamanan LunaSec nyatakake yen tembelan kasebut ora kedap banyu. Sampeyan isih bisa nyetel setelan lan wis mlebu printah JNDI dieksekusi.
Wigati dimangerteni: setelan sing cocog kudu diatur kanthi manual, supaya varian 2.15 sing ora diowahi pancen aman. Nanging, Luna Sec nyaranake pemasok lan organisasi nganyari menyang Log4j 2.16. 2.16 diterbitake dening Apache Software Foundation kanggo nanggepi LunaSec. Versi anyar mbusak kabeh setelan sing rawan, saengga ora bisa nggawe kahanan kanggo penyalahgunaan.