បំណះសង្គ្រោះបន្ទាន់សម្រាប់ភាពងាយរងគ្រោះដ៏អាក្រក់នៅក្នុងបណ្ណាល័យ Java Log4j មិនមានភាពល្ងង់ខ្លៅនោះទេ។ មូលនិធិកម្មវិធី Apache កំពុងបញ្ចេញកំណែថ្មី ដើម្បីជួសជុលភាពងាយរងគ្រោះម្តង និងសម្រាប់ទាំងអស់គ្នា។
ភាពងាយរងគ្រោះនៅក្នុងបណ្ណាល័យដ៏ពេញនិយមសម្រាប់ Java កំពុងអង្រួនទេសភាព IT សកល។ វាត្រូវបានប៉ាន់ស្មានថាបណ្ណាល័យមាននៅក្នុងបរិយាកាសសាជីវកម្មភាគច្រើន។
Log4j ត្រូវបានប្រើជាចម្បងសម្រាប់ការកាប់ឈើ។ ព្រឹត្តិការណ៍នៅក្នុងកម្មវិធីអាចត្រូវបានចុះឈ្មោះដោយកំណត់ចំណាំ។ គិតអំពីការបោះពុម្ពនៃព័ត៌មានលម្អិតនៃការចូលបន្ទាប់ពីការព្យាយាមចូល។ ឬនៅក្នុងករណីនៃកម្មវិធីបណ្តាញនៅក្នុង Java ឈ្មោះរបស់កម្មវិធីរុករកដែលអ្នកប្រើប្រាស់កំពុងព្យាយាមភ្ជាប់ទៅ។
ឧទាហរណ៍ចុងក្រោយគឺជារឿងធម្មតា។ ក្នុងករណីទាំងពីរ អ្នកប្រើប្រាស់ខាងក្រៅមានឥទ្ធិពលលើកំណត់ហេតុដែល Log4j ចេញ។ វាអាចទៅរួចក្នុងការបំពានឥទ្ធិពលនោះ។ កំណត់ហេតុនៃកំណែ Log4j ណាមួយនៅចន្លោះថ្ងៃទី 13 ខែកញ្ញា ឆ្នាំ 2013 ដល់ថ្ងៃទី 5 ខែធ្នូ ឆ្នាំ 2021 អាចណែនាំកម្មវិធី Java ឱ្យដំណើរការកូដពីម៉ាស៊ីនមេពីចម្ងាយនៅលើឧបករណ៍មូលដ្ឋាន។
ចាប់តាំងពីឆ្នាំ 2013 Log4j បានដំណើរការ API: JNDI ឬ Java Naming and Directory Interface។ ការបន្ថែម JNDI អនុញ្ញាតឱ្យកម្មវិធី Java ដំណើរការកូដពីម៉ាស៊ីនមេពីចម្ងាយនៅលើឧបករណ៍មូលដ្ឋាន។ អ្នកសរសេរកម្មវិធីណែនាំដោយបន្ថែមបន្ទាត់តែមួយនៃព័ត៌មានលម្អិតអំពីម៉ាស៊ីនមេពីចម្ងាយនៅក្នុងកម្មវិធីមួយ។
បញ្ហាគឺថាមិនត្រឹមតែអ្នកសរសេរកម្មវិធីទេដែលអាចបន្ថែមច្បាប់ទៅកម្មវិធី។ ឧបមាថា Log4j កត់ត្រាឈ្មោះអ្នកប្រើប្រាស់នៃការប៉ុនប៉ងចូល។ នៅពេលដែលនរណាម្នាក់ចូលទៅក្នុងបន្ទាត់ដែលបានរៀបរាប់ខាងលើនៅក្នុងវាលឈ្មោះអ្នកប្រើប្រាស់ Log4j ដំណើរការបន្ទាត់ ហើយកម្មវិធី Java បកប្រែពាក្យបញ្ជាដើម្បីដំណើរការកូដនៅលើម៉ាស៊ីនមេដែលបានបញ្ជាក់។ ដូចគ្នាចំពោះករណីដែល Log4j កត់ត្រាសំណើ HTTPS ។ ប្រសិនបើអ្នកប្តូរឈ្មោះកម្មវិធីរុករកទៅបន្ទាត់ Log4j ដំណើរការបន្ទាត់ដោយប្រយោលណែនាំវាឱ្យដំណើរការកូដតាមការចង់បាន។
បំណះសង្គ្រោះបន្ទាន់ក៏អាចមិនមានសុវត្ថិភាពដែរ។
នៅថ្ងៃទី 9 ខែធ្នូ ភាពងាយរងគ្រោះបានលេចចេញជាទ្រង់ទ្រាយធំ។ មូលនិធិកម្មវិធី Apache ដែលជាអ្នកបង្កើត Log4j បានចេញផ្សាយបំណះសង្គ្រោះបន្ទាន់ (2.15) ដើម្បីជួសជុលភាពងាយរងគ្រោះ។ ចាប់តាំងពីពេលនោះមក វាជាអាទិភាពកំពូលសម្រាប់អ្នកលក់កម្មវិធីដើម្បីដំណើរការកំណែ 2.15 និងផ្តល់នូវបំណះសម្រាប់អង្គការ។
ទោះជាយ៉ាងណាក៏ដោយ អង្គការសន្តិសុខ LunaSec បញ្ជាក់ថា បំណះនេះមិនជ្រាបទឹកទាំងស្រុងនោះទេ។ វានៅតែអាចកែសម្រួលការកំណត់មួយ និងបានចូលដំណើរការពាក្យបញ្ជា JNDI ។
សូមចំណាំ៖ ការកំណត់ដែលពាក់ព័ន្ធត្រូវតែកែតម្រូវដោយដៃ ដូច្នេះវ៉ារ្យ៉ង់ដែលមិនបានកែប្រែនៃ 2.15 ពិតជាមានសុវត្ថិភាព។ ទោះជាយ៉ាងណាក៏ដោយ Luna Sec ផ្តល់អនុសាសន៍ឱ្យអ្នកផ្គត់ផ្គង់ និងអង្គការធ្វើបច្ចុប្បន្នភាពទៅ Log4j 2.16 ។ 2.16 ត្រូវបានបោះពុម្ពដោយ Apache Software Foundation ក្នុងការឆ្លើយតបទៅនឹង LunaSec ។ កំណែថ្មីលុបការកំណត់ដែលងាយរងគ្រោះទាំងស្រុង ដែលធ្វើឱ្យវាមិនអាចបង្កើតលក្ខខណ្ឌសម្រាប់ការរំលោភបំពាន។