Pîvana acîl ya ji bo qelsiya navdar a di pirtûkxaneya Java Log4j de ne bêaqil e. Weqfa Nermalava Apache guhertoyek nû derdixe da ku qelsiyê carekê û her dem rast bike.
Lewaziyek di pirtûkxaneyek pir populer a Java-yê de perestgeha gerdûnî ya IT-ê dihejîne. Tê texmîn kirin ku pirtûkxane di piraniya hawîrdorên pargîdanî de heye.
Log4j bi piranî ji bo têketinê tê bikar anîn. Bûyerên di serlêdanan de dikarin bi nîşeyan bêne tomar kirin. Piştî hewildanek têketinê çapek hûrguliyên têketinê bifikirin. An jî, di doza serîlêdanek webê ya Java-yê de, navê geroka ku bikarhênerek hewl dide pê ve girêdayî be.
Mînakên paşîn gelemperî ne. Di her du rewşan de, bikarhênerek derveyî bandorê li têketina ku Log4j derdixe bandor dike. Mimkûn e ku meriv wê bandorê xirab bike. Têketinên her guhertoyek Log4j di navbera 13-ê îlona 2013-an û 5-ê Kanûna Pêşîn, 2021-an de dikarin serîlêdanên Java-yê rêwerz bikin ku kodê ji serverek dûr a li ser cîhazek herêmî bimeşînin.
Ji sala 2013-an vir ve, Log4j API-yek hildiberîne: JNDI, an Navdêr û Navbera Naveroka Java. Zêdekirina JNDI dihêle ku serîlêdana Java-yê kodê ji serverek dûr a li ser cîhazek herêmî bimeşîne. Bernamesaz bi lê zêdekirina yek rêzek hûrguliyên li ser servera dûr di serîlêdanê de rêwerz dikin.
Pirsgirêk ev e ku ne tenê bernamenûs dikarin qaîdeyê li serîlêdanan zêde bikin. Bifikirin ku Log4j navên bikarhêner ên hewildanên têketinê tomar dike. Dema ku kesek dikeve rêza jorîn di qada navê bikarhêner de, Log4j rêzê dimeşîne û serîlêdana Java fermanek şîrove dike ku kodê li ser servera diyarkirî bimeşîne. Heman tişt ji bo rewşên ku Log4j daxwazek HTTPS tomar dike. Ger hûn navek gerokê bi xêzê biguhezînin, Log4j rêzê dimeşîne, nerasterast jê re rê dide ku kodê wekî ku tê xwestin bimeşîne.
Pîvana acîl jî dikare ne ewle be
Di 9ê Kanûnê de, qelsbûn di astek mezin de derket holê. Weqfa Nermalava Apache, pêşdebirê Log4j, pişkek acîl (2.15) derxist da ku qelsiyê rast bike. Ji hingê ve, ew ji bo firoşkarên nermalavê pêşengiyek sereke ye ku guhertoya 2.15-ê bişopînin û ji rêxistinan re paçek peyda bikin.
Lêbelê, rêxistina ewlehiyê LunaSec diyar dike ku paç bi tevahî av negirtî ye. Mimkun e ku meriv mîhengek biguhezîne û fermanên JNDI-yê qeydkirî bêne darve kirin.
Ji kerema xwe not: mîhengê têkildar divê bi destan were sererast kirin, da ku guhertoyên neguhezbar ên 2.15 bi rastî ewle bin. Lêbelê, Luna Sec pêşniyar dike ku peydaker û rêxistin li Log4j 2.16 nûve bikin. 2.16 ji hêla Weqfa Nermalava Apache ve di bersiva LunaSec de hate weşandin. Guhertoya nû bi tevahî mîhengê xedar radike, ku ne gengaz e ku meriv şert û mercên destavêtinê biafirîne.