ჯავის ბიბლიოთეკაში Log4j სამარცხვინო დაუცველობის გავლენა გრძელდება. მიუხედავად იმისა, რომ ყველაზე დიდი პრობლემა მოგვარდა გადაუდებელი პატჩი 2.16-ით, ეს ვერსია ასევე ექვემდებარება ბოროტად გამოყენებას. უსაფრთხოების მკვლევარებმა აღმოაჩინეს შესასვლელი სერვისის უარყოფის (DoS) თავდასხმებისთვის. Log4j 2.17 გამოქვეყნებულია ჩანაწერის დახურვისთვის.
Apache, Java ბიბლიოთეკის შემქმნელი, ორგანიზაციებს ურჩევს გამოიყენონ გადაუდებელი პაჩი. ეს რჩევა უკვე მესამედ გამოიყენება მას შემდეგ რაც ბიბლიოთეკა დაუცველი აღმოჩნდა.
კვირანახევრის წინ უსაფრთხოების მკვლევარებმა Alibaba-დან cloud უსაფრთხოების ჯგუფმა გამოავლინა Log4j აპლიკაციების ბოროტად გამოყენების მეთოდი. Log4j გამოიყენება აპლიკაციებში მოვლენების დასაწერად. აღმოჩნდა, რომ შესაძლებელი იყო ბიბლიოთეკაში აპლიკაციების წვდომა გარედან მავნე პროგრამების შესრულების ინსტრუქციებით. შეურაცხყოფას ცოტა მეტი დრო სჭირდება. ამას დაუმატეთ ბიბლიოთეკის სავარაუდო შემთხვევები უმეტეს კორპორატიულ გარემოში და გესმით კატასტროფის მასშტაბები გლობალური IT ლანდშაფტის წინაშე.
პროგრამული უზრუნველყოფის შემქმნელები, როგორიცაა Fortinet, Cisco, IBM და ათობით სხვა, იყენებენ ბიბლიოთეკას თავიანთ პროგრამულ უზრუნველყოფაში. მათი დეველოპერები მუშაობდნენ ზეგანაკვეთურად შაბათ-კვირას, 11 დეკემბერს, რათა დაემუშავებინათ პირველი გადაუდებელი პაჩი დაუცველობისთვის და მიეწოდებინათ იგი მომხმარებელთა ორგანიზაციებისთვის. ზუსტად იგივე დრიფტს ელოდნენ ამ ორგანიზაციების IT გუნდებიდან. ასობით ათასი თავდასხმის მცდელობა განხორციელდა მთელ მსოფლიოში. ყველას უნდა გადასულიყო 2.15-ზე რაც შეიძლება მალე - სანამ 2.15 ასევე დაუცველი აღმოჩნდა.
ბიბლიოთეკის გარკვეული კონფიგურაცია შესაძლებელი დარჩა 2.15 ვერსიაში. ამ კონფიგურაციების გამოყენებამ გააძლიერა დაუცველობა. 2.16 ვერსიამ კონფიგურაციები შეუძლებელი გახადა, რაც ახალი პაჩის გარანტიას იძლევა. ხშირად უკვე გადატვირთული IT გუნდების წუხილი. თუმცა, ყოველთვის შეიძლება იყოს უარესი, რადგან 2.16-საც აქვს დაავადება.
დაბრუნება დასაწყებად
პრობლემისადმი მასიურმა გლობალურმა ყურადღებამ გამოიწვია მასიური მსოფლიო გამოძიება. Apache, ბიბლიოთეკის დეველოპერი, როგორც ჩანს, სუნთქვა არ იკვებება ორი დღის განმავლობაში ისე, რომ უსაფრთხოების კომპანია არ მიუთითებს ახალ, აქტუალურ პრობლემაზე.
მოკლედ, ირკვევა, რომ შესაძლებელია log4j-ის ათობით ვერსიის გაშვება - მათ შორის 2.16 - ერთი ხაზით (სტრიქონი), რათა დაიწყოს მარადიული მარყუჟი, რომელიც არღვევს აპლიკაციას. პირობები, რომლებიც უნდა აკმაყოფილებდეს გარემოს ბოროტად გამოყენების მიზნით, ფართოა. იმდენად ფართო, რომ პრობლემის პრაქტიკული სერიოზულობა სადავოა. პატჩი ოფიციალურად არის რეკომენდებული, მაგრამ ყველა არ არის დარწმუნებული.
ისევ და ისევ, Log4j-ის ყველა მაგალითი არ არის დაუცველი, მაგრამ მხოლოდ ის შემთხვევები, როდესაც ბიბლიოთეკა მუშაობს პერსონალურ პარამეტრებზე. პოტენციურ თავდამსხმელს ასევე სჭირდება დეტალური ინფორმაცია იმის შესახებ, თუ როგორ მუშაობს Log4j. განსხვავებით საწყისი, ადვილად ხელმისაწვდომი დაუცველობისგან.