Java китепканасынын Log4j ичиндеги атактуу аялуу үчүн авариялык патч кынтыксыз эмес. Apache Software Foundation аялуулугун биротоло оңдоо үчүн жаңы версиясын чыгарат.
Java үчүн абдан популярдуу китепкананын алсыздыгы глобалдык IT ландшафтын солкулдатып жатат. Бул китепкана көпчүлүк корпоративдик чөйрөлөрүндө бар деп болжолдонууда.
Log4j негизинен журналдарды жазуу үчүн колдонулат. Тиркемелердеги окуялар эскертүүлөр менен катталышы мүмкүн. Кирүү аракетинен кийин кирүү чоо-жайын басып чыгаруу жөнүндө ойлонуп көрүңүз. Же болбосо, Java-дагы веб-тиркемеде, колдонуучу туташып жаткан браузердин аты.
Акыркы мисалдар жалпы болуп саналат. Эки учурда тең тышкы колдонуучу Log4j чыгарган журналга таасир этет. Бул таасирди кыянаттык менен пайдалануу мүмкүн. 4-жылдын 13-сентябрынан 2013-жылдын 5-декабрына чейинки бардык Log2021j версиясынын журналдары Java колдонмолоруна кодду локалдык түзмөктөгү алыскы серверден иштетүүгө көрсөтмө бере алат.
2013-жылдан бери Log4j API иштетип жатат: JNDI же Java аталышы жана каталог интерфейси. JNDI кошумчасы Java колдонмосуна локалдык түзүлүштөгү алыскы серверден кодду иштетүүгө мүмкүндүк берет. Программисттер тиркемедеги алыскы сервер жөнүндө бир сап чоо-жайын кошуу менен көрсөтмө беришет.
Көйгөй, эрежени тиркемелерге программисттер гана кошо алышпайт. Log4j кирүү аракеттеринин колдонуучу аттарын журналга киргизет дейли. Кимдир бирөө колдонуучу аты талаасына жогоруда айтылган сапка киргенде, Log4j сапты иштетет жана Java колдонмосу көрсөтүлгөн серверде кодду иштетүү үчүн буйрукту чечмелейт. Ошол эле Log4j HTTPS өтүнүчүн киргизген учурларга да тиешелүү. Эгер сиз браузердин атын сапка өзгөртсөңүз, Log4j линияны иштетип, кыйыр түрдө каалагандай кодду иштетүүнү буйруйт.
Шашылыш патч да кооптуу болушу мүмкүн
9-декабрда алсыздык кеңири масштабда ачыкка чыкты. Apache Software Foundation, Log4j иштеп чыгуучусу, алсыздыкты оңдоо үчүн шашылыш патчты (2.15) чыгарды. Ошондон бери программалык камсыздоону сатуучулар үчүн 2.15 версиясын иштеп чыгуу жана уюмдар үчүн патч менен камсыз кылуу башкы артыкчылык болуп калды.
Бирок, коопсуздук уюму LunaSec патч толугу менен суу өткөрбөйт деп айтылат. Жөндөөнү тууралоо жана аткарылган JNDI буйруктарын киргизүү мүмкүн бойдон калууда.
Көңүл буруңуз: 2.15тин өзгөртүлбөгөн варианттары чындап эле коопсуз болушу үчүн тиешелүү жөндөө кол менен жөнгө салынышы керек. Ошого карабастан, Luna Sec жеткирүүчүлөргө жана уюмдарга Log4j 2.16 жаңыртууну сунуштайт. 2.16 Apache Software Foundation тарабынан LunaSecке жооп катары жарыяланган. Жаңы версия аялуу параметрди толугу менен жок кылып, кыянаттык үчүн шарттарды түзүүгө мүмкүн эмес.