Log4j Java кітапханасындағы атақты осалдыққа арналған төтенше патч қатесіз емес. Apache Software Foundation осалдықты біржола түзету үшін жаңа нұсқаны шығарады.
Java-ға арналған өте танымал кітапханадағы осалдық жаһандық АТ-ландшафтты шайқалтады. Кітапхана көптеген корпоративтік орталарда бар деп есептеледі.
Log4j негізінен журнал жүргізу үшін қолданылады. Қолданбалардағы оқиғаларды жазбалармен тіркеуге болады. Жүйеге кіру әрекетінен кейін кіру мәліметтерін басып шығару туралы ойланыңыз. Немесе, Java-дағы веб-бағдарлама жағдайында, пайдаланушы қосылуға тырысатын шолғыштың атауы.
Соңғы мысалдар жиі кездеседі. Екі жағдайда да сыртқы пайдаланушы Log4j шығаратын журналға әсер етеді. Бұл әсерді теріс пайдалану мүмкін. 4 жылдың 13 қыркүйегі мен 2013 жылдың 5 желтоқсаны арасындағы кез келген Log2021j нұсқасының журналдары Java қолданбаларына жергілікті құрылғыдағы қашықтағы серверден кодты іске қосуға нұсқау бере алады.
2013 жылдан бастап Log4j API өңдеуде: JNDI немесе Java атаулары мен каталог интерфейсі. JNDI қосу Java қолданбасына жергілікті құрылғыдағы қашықтағы серверден кодты іске қосуға мүмкіндік береді. Бағдарламашылар қолданбадағы қашықтағы сервер туралы мәліметтердің бір жолын қосу арқылы нұсқау береді.
Мәселе мынада, тек бағдарламашылар ережені қолданбаларға қоса алмайды. Log4j кіру әрекеттерінің пайдаланушы атын тіркейді делік. Біреу пайдаланушы аты өрісіне жоғарыда аталған жолды енгізгенде, Log4j жолды іске қосады және Java қолданбасы көрсетілген серверде кодты іске қосу пәрменін түсіндіреді. Бұл Log4j HTTPS сұрауын тіркейтін жағдайларға қатысты. Браузер атауын жолға өзгертсеңіз, Log4j жолды іске қосады, жанама түрде кодты қалағандай іске қосуды нұсқайды.
Төтенше жағдай патчтары да қауіпті болуы мүмкін
9 желтоқсанда осалдық кең ауқымда ашылды. Apache Software Foundation, Log4j әзірлеушісі осалдықты түзету үшін төтенше жағдай патчын (2.15) шығарды. Содан бері бағдарламалық жасақтаманы жеткізушілер үшін 2.15 нұсқасын өңдеу және ұйымдарға патч беру басты басымдық болды.
Дегенмен, LunaSec қауіпсіздік ұйымы патч толығымен су өткізбейтінін айтады. Параметрді реттеу және орындалған JNDI пәрмендерін тіркеу мүмкін болып қалады.
Назар аударыңыз: 2.15-тің өзгертілмеген нұсқалары шынымен қауіпсіз болуы үшін тиісті параметрді қолмен реттеу керек. Дегенмен, Luna Sec жеткізушілер мен ұйымдарға Log4j 2.16 нұсқасына жаңартуды ұсынады. 2.16 нұсқасын Apache Software Foundation LunaSec-ке жауап ретінде жариялады. Жаңа нұсқа осал параметрді толығымен жояды, бұл теріс пайдалану жағдайларын жасау мүмкін емес.