Log4j 2.16 rentan marang serangan DoS, patch urgent 2.17 dianjurake

Dampak kerentanan sing kondhang ing perpustakaan Jawa Log4j terus. Senajan masalah paling gedhe wis ditanggulangi karo tembelan urgent 2.16, versi iki uga katon rentan kanggo penyalahgunaan. Peneliti keamanan nemokake lawang kanggo serangan Denial of Service (DoS). Log4j 2.17 wis diterbitake kanggo nutup entri.

Apache, pangembang perpustakaan Jawa, menehi saran marang organisasi supaya bisa ngetrapake tembelan darurat. Saran kasebut ditrapake kaping telune wiwit perpustakaan ditemokake rentan.

A minggu lan setengah kepungkur, peneliti keamanan saka Alibaba cloud tim keamanan mbukak cara kanggo nyiksa aplikasi karo Log4j. Log4j digunakake ing aplikasi kanggo nyathet acara. Ternyata bisa ngakses aplikasi karo perpustakaan saka njaba kanthi instruksi kanggo nglakokake malware. Penyalahgunaan njupuk sethitik luwih saka sworo seru. Tambahake kira-kira kedadeyan perpustakaan ing umume lingkungan perusahaan lan sampeyan ngerti ukuran bencana sing diadhepi lanskap IT global.

Pangembang piranti lunak kayata Fortinet, Cisco, IBM lan puluhan liyane nggunakake perpustakaan ing piranti lunak. Pangembang dheweke kerja lembur ing akhir minggu 11 Desember kanggo ngolah tembelan darurat pertama kanggo kerentanan lan ngirim menyang organisasi pangguna. Persis drift sing padha diarepake saka tim IT ing organisasi kasebut. Atusan ewu upaya serangan ditindakake ing saindenging jagad. Saben uwong kudu ngalih menyang 2.15 sanalika bisa - nganti 2.15 uga ditemokake rentan.

Konfigurasi perpustakaan tartamtu tetep bisa ditindakake ing versi 2.15. Nggunakake konfigurasi iki terus-terusan kerentanan. Versi 2.16 nggawe konfigurasi ora bisa, njamin patch anyar. Asring ngganggu tim IT sing wis kerja banget. Nanging, bisa uga luwih elek, amarga 2.16 uga duwe penyakit.

Bali menyang wiwitan

Perhatian global sing gedhe babagan masalah kasebut nyebabake penyelidikan global sing akeh. Apache, pangembang perpustakaan, ora bisa nahan ambegan sajrone rong dina tanpa perusahaan keamanan sing nuduhake masalah sing anyar.

Ing cendhak, iku bisa kanggo mbukak Welasan versi log4j - kalebu 2.16 - karo siji baris (string) kanggo miwiti daur ulang langgeng sing tubrukan aplikasi. Kahanan sing kudu ditindakake lingkungan supaya bisa disalahake pancen akeh. Dadi ekstensif sing keseriusan praktis saka masalah gegeran. Tembelan kasebut kanthi resmi dianjurake, nanging ora kabeh wong yakin.

Maneh, ora saben conto Log4j bisa dirusak, nanging mung kasus nalika perpustakaan mlaku ing setelan khusus. Penyerang potensial uga mbutuhake wawasan rinci babagan cara kerja Log4j. A kontras kanggo awal, gampang diakses kerentanan.