Den Impakt vun der berühmter Schwachstelle an der Java Bibliothéik Log4j zitt weider. Och wann de gréisste Problem mat dréngend Patch 2.16 geléist gouf, schéngt dës Versioun och ufälleg fir Mëssbrauch ze sinn. Sécherheetsfuerscher hunn en Entrée fir Denial of Service (DoS) Attacke fonnt. Log4j 2.17 gouf publizéiert fir den Entrée zouzemaachen.
Apache, Entwéckler vun der Java Bibliothéik, beréit Organisatiounen den Noutfall Patch anzesetzen. Dëse Rot gëlt fir d'drëtte Kéier zënter datt d'Bibliothéik als vulnérabel fonnt gouf.
Virun enger Woch an eng hallef, Sécherheetsfuerscher vun Alibaba's cloud Sécherheetsteam huet eng Method opgedeckt fir Uwendungen mat Log4j ze mëssbrauchen. Log4j gëtt an Uwendungen benotzt fir Eventer ze protokolléieren. Et huet sech erausgestallt datt et méiglech ass fir Uwendungen mat der Bibliothéik vu baussen ze kréien mat Instruktioune fir Malware auszeféieren. Mëssbrauch brauch wéineg méi wéi e Schnapp. Füügt derzou de geschätzte Optriede vun der Bibliothéik an de meeschte Firmenëmfeld an Dir versteet d'Skala vun der Katastroph mat der globaler IT Landschaft.
Software Entwéckler wéi Fortinet, Cisco, IBM an Dosende vun aneren benotzen d'Bibliothéik an hirer Software. Hir Entwéckler hunn Iwwerstonnen iwwer de Weekend den 11. Dezember geschafft fir den éischten Noutfallpatch fir d'Schwachheet ze veraarbecht an et un d'Benotzerorganisatiounen ze liwweren. Genau déiselwecht Drift gouf vun den IT Teams bannent dësen Organisatiounen erwaart. Honnertdausende vun Attacke Versich sinn weltwäit stattfonnt. Jiddereen huet misse sou séier wéi méiglech op 2.15 ëmsetzen - bis 2.15 war och vulnerabel fonnt ginn.
Bestëmmte Konfiguratioune vun der Bibliothéik bleiwe méiglech an der Versioun 2.15. D'Benotzung vun dëse Konfiguratiounen huet d'Schwachheet perpetuéiert. Versioun 2.16 huet d'Konfiguratiounen onméiglech gemaach, a garantéiert en neie Patch. Dacks zum Trauer vu schonn iwweraarbechten IT Teams. Allerdéngs kann et ëmmer méi schlëmm ginn, well 2.16 och eng Krankheet huet.
Zréck op Start
Déi massiv global Opmierksamkeet op de Problem huet massiv weltwäit Enquête gefrot. Apache, Entwéckler vun der Bibliothéik, schéngt zwee Deeg net ze Otem ze kréien ouni datt eng Sécherheetsfirma op en neien, dréngende Problem weist.
Kuerz gesot, et stellt sech eraus datt et méiglech ass Dosende vu Versioune vu log4j ze lafen - dorënner 2.16 - mat enger Zeil (String) fir eng éiweg Loop ze starten déi d'Applikatioun erofgeet. D'Konditiounen, déi en Ëmfeld muss erfëllen fir mëssbraucht ze ginn, sinn extensiv. Sou extensiv datt d'praktesch Eescht vum Problem ëmstridden ass. De Patch ass offiziell recommandéiert, awer net jiddereen ass iwwerzeegt.
Erëm, net all Instanz vu Log4j ass vulnérabel, awer nëmme Fäll wou d'Bibliothéik op personaliséierten Astellunge leeft. E potenziellen Ugräifer brauch och detailléiert Abléck wéi Log4j funktionnéiert. E Kontrast zu der initialer, liicht zougänglecher Schwachstelle.