Java китепканасынын Log4jдеги атактуу аялуусунун таасири созулуп баратат. Эң чоң көйгөй шашылыш патч 2.16 менен чечилсе да, бул версия да кыянаттык менен колдонууга дуушар болот. Коопсуздук изилдөөчүлөрү Тейлөөдөн баш тартуу (DoS) чабуулдары үчүн кире беришин табышты. Log4j 2.17 жазууну жабуу үчүн жарыяланды.
Apache, Java китепканасын иштеп чыгуучу уюмдарга шашылыш патчты колдонууну сунуштайт. Бул кеңеш китепкана аялуу деп табылгандан бери үчүнчү жолу колдонулуп жатат.
Бир жарым жума мурун, Alibaba компаниясынын коопсуздук изилдөөчүлөрү cloud коопсуздук командасы Log4j менен тиркемелерди кыянаттык менен пайдалануу ыкмасын ачып берди. Log4j окуяларды каттоо үчүн колдонмолордо колдонулат. Зыяндуу программаларды ишке ашыруу боюнча нускамалар менен китепкана менен тиркемелерге сырттан кирүүгө мүмкүн болду. Зордуктоо бир аз гана убакытты талап кылат. Көпчүлүк корпоративдик чөйрөлөрдө китепкананын болжолдуу пайда болушун кошсоңуз, глобалдык IT ландшафтындагы кырсыктын масштабын түшүнөсүз.
Fortinet, Cisco, IBM жана ондогон башка программалык камсыздоону иштеп чыгуучулар өздөрүнүн программалык камсыздоолорунда китепкананы колдонушат. Алардын иштеп чыгуучулары 11-декабрда дем алыш күндөрү ашыкча иштешип, алсыздык үчүн биринчи авариялык патчты иштеп чыгып, аны колдонуучу уюмдарга жеткиришти. Бул уюмдардын ичиндеги IT командаларынан дал ушундай дрейф күтүлгөн. Дүйнө жүзү боюнча жүз миңдеген кол салуу аракеттери болду. Ар бир адам мүмкүн болушунча тезирээк 2.15ке өтүшү керек болчу - 2.15ке чейин аялуу деп табылган.
Китепкананын айрым конфигурациялары 2.15 версиясында мүмкүн болгон. Бул конфигурацияларды колдонуу аялуулукту улантты. 2.16 версиясы жаңы патчты кепилдеп, конфигурацияларды мүмкүн эмес кылды. Көбүнчө ашыкча иштеген IT командаларынын капа болушуна. Бирок, ал ар дайым жаман болушу мүмкүн, анткени 2.16 да бир оору бар.
Баштоого кайтуу
Көйгөйгө глобалдык көңүл бурулуп, бүткүл дүйнөлүк масштабдуу иликтөөгө түрткү болду. Apache, китепкананы иштеп чыгуучу, коопсуздук компаниясы жаңы, актуалдуу көйгөйдү көрсөтпөстөн эки күн бою дем ала албайт окшойт.
Кыскача айтканда, тиркемени кыйратуучу түбөлүк циклди баштоо үчүн log4jдин ондогон версияларын – анын ичинде 2.16 – бир сап (сап) менен иштетүүгө болот экен. Кыянаттык үчүн айлана-чөйрө жооп бериши керек болгон шарттар кеңири. Ушунчалык кенен болгондуктан, маселенин практикалык олуттуулугу талашка түштү. Патч расмий түрдө сунушталат, бирок баары эле ишене бербейт.
Дагы бир жолу, Log4jдин ар бир нускасы аялуу эмес, бирок китепкана ыңгайлаштырылган орнотууларда иштеген учурларда гана. Потенциалдуу чабуулчуга Log4j кантип иштээри тууралуу толук маалымат керек. Баштапкы, оңой жетүүгө мүмкүн болгон кемчиликтен айырмаланып турат.