Patch ສຸກເສີນສໍາລັບຊ່ອງໂຫວ່ທີ່ບໍ່ມີຊື່ສຽງໃນຫ້ອງສະຫມຸດ Java Log4j ແມ່ນບໍ່ໂງ່. ມູນນິທິ Apache Software ກຳລັງປ່ອຍເວີຊັນໃໝ່ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ຄັ້ງດຽວ.
ຊ່ອງໂຫວ່ໃນຫ້ອງສະໝຸດທີ່ນິຍົມກັນຢ່າງປ່າເຖື່ອນສໍາລັບ Java ກໍາລັງສັ່ນສະເທືອນພູມສັນຖານ IT ທົ່ວໂລກ. ມັນຄາດຄະເນວ່າຫ້ອງສະຫມຸດມີຢູ່ໃນສະພາບແວດລ້ອມຂອງບໍລິສັດສ່ວນໃຫຍ່.
Log4j ສ່ວນໃຫຍ່ແມ່ນໃຊ້ສໍາລັບການຕັດໄມ້. ເຫດການໃນແອັບພລິເຄຊັນສາມາດລົງທະບຽນດ້ວຍບັນທຶກ. ຄິດເຖິງການພິມລາຍລະອຽດການເຂົ້າສູ່ລະບົບຫຼັງຈາກພະຍາຍາມເຂົ້າສູ່ລະບົບ. ຫຼື, ໃນກໍລະນີຂອງຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ໃນ Java, ຊື່ຂອງຕົວທ່ອງເວັບທີ່ຜູ້ໃຊ້ພະຍາຍາມເຊື່ອມຕໍ່.
ຕົວຢ່າງສຸດທ້າຍແມ່ນທົ່ວໄປ. ໃນທັງສອງກໍລະນີ, ຜູ້ໃຊ້ພາຍນອກມີອິດທິພົນຕໍ່ບັນທຶກທີ່ Log4j ຜົນໄດ້ຮັບ. ມັນເປັນໄປໄດ້ທີ່ຈະລ່ວງລະເມີດອິດທິພົນນັ້ນ. ບັນທຶກຂອງທຸກລຸ້ນ Log4j ລະຫວ່າງວັນທີ 13 ກັນຍາ 2013 ຫາວັນທີ 5 ທັນວາ 2021 ສາມາດສັ່ງໃຫ້ແອັບພລິເຄຊັນ Java ແລ່ນລະຫັດຈາກເຊີບເວີທາງໄກໃນອຸປະກອນທ້ອງຖິ່ນໄດ້.
ຕັ້ງແຕ່ປີ 2013, Log4j ໄດ້ຮັບການປະມວນຜົນ API: JNDI, ຫຼື Java Naming ແລະ Directory Interface. ການເພີ່ມ JNDI ອະນຸຍາດໃຫ້ແອັບພລິເຄຊັນ Java ແລ່ນລະຫັດຈາກເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກໃນອຸປະກອນທ້ອງຖິ່ນ. ຜູ້ຂຽນໂປລແກລມແນະນໍາໂດຍການເພີ່ມລາຍລະອຽດເສັ້ນດຽວກ່ຽວກັບເຄື່ອງແມ່ຂ່າຍຫ່າງໄກສອກຫຼີກໃນແອັບພລິເຄຊັນ.
ບັນຫາແມ່ນວ່າບໍ່ພຽງແຕ່ນັກຂຽນໂປລແກລມສາມາດເພີ່ມກົດລະບຽບໃຫ້ກັບແອັບພລິເຄຊັນ. ສົມມຸດວ່າ Log4j ບັນທຶກຊື່ຜູ້ໃຊ້ຂອງຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບ. ເມື່ອຜູ້ໃດຜູ້ນຶ່ງເຂົ້າໄປໃນແຖວທີ່ໄດ້ກ່າວມາຂ້າງເທິງໃນພາກສະຫນາມຊື່ຜູ້ໃຊ້, Log4j ແລ່ນເສັ້ນແລະຄໍາຮ້ອງສະຫມັກ Java ຕີຄວາມຫມາຍຄໍາສັ່ງເພື່ອແລ່ນລະຫັດໃນເຄື່ອງແມ່ຂ່າຍທີ່ລະບຸໄວ້. ດຽວກັນກັບກໍລະນີທີ່ Log4j ບັນທຶກການຮ້ອງຂໍ HTTPS. ຖ້າທ່ານປ່ຽນຊື່ຕົວທ່ອງເວັບໄປຫາເສັ້ນ, Log4j ແລ່ນສາຍ, ໂດຍທາງອ້ອມແນະນໍາໃຫ້ມັນແລ່ນລະຫັດຕາມຄວາມຕ້ອງການ.
ແຜ່ນປິດສຸກເສີນຍັງສາມາດບໍ່ປອດໄພ
ວັນທີ 9 ທັນວານີ້, ຄວາມສ່ຽງໄດ້ເກີດຂຶ້ນໃນຂະໜາດໃຫຍ່. ມູນນິທິ Apache Software, ຜູ້ພັດທະນາ Log4j, ປ່ອຍຕົວແກ້ໄຂສຸກເສີນ (2.15) ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່. ຕັ້ງແຕ່ນັ້ນມາ, ມັນເປັນບູລິມະສິດອັນດັບຫນຶ່ງສໍາລັບຜູ້ຂາຍຊອບແວທີ່ຈະປຸງແຕ່ງສະບັບ 2.15 ແລະສະຫນອງການແກ້ໄຂສໍາລັບອົງການຈັດຕັ້ງ.
ຢ່າງໃດກໍຕາມ, ອົງການຄວາມປອດໄພ LunaSec ລະບຸວ່າແຜ່ນແພແມ່ນບໍ່ມີນ້ໍາຫມົດ. ມັນຍັງຄົງເປັນໄປໄດ້ທີ່ຈະປັບການຕັ້ງຄ່າແລະໃຫ້ຄໍາສັ່ງ JNDI ເຂົ້າສູ່ລະບົບ.
ກະລຸນາບັນທຶກ: ການຕັ້ງຄ່າທີ່ກ່ຽວຂ້ອງຈະຕ້ອງໄດ້ຮັບການປັບດ້ວຍຕົນເອງ, ດັ່ງນັ້ນການປ່ຽນແປງທີ່ບໍ່ໄດ້ແກ້ໄຂຂອງ 2.15 ມີຄວາມປອດໄພແທ້ຈິງ. ຢ່າງໃດກໍຕາມ, Luna Sec ແນະນໍາໃຫ້ຜູ້ສະຫນອງແລະອົງການຈັດຕັ້ງປັບປຸງ Log4j 2.16. 2.16 ໄດ້ຖືກຈັດພີມມາໂດຍ Apache Software Foundation ໃນການຕອບສະຫນອງຕໍ່ LunaSec. ສະບັບໃຫມ່ໄດ້ກໍາຈັດການຕັ້ງຄ່າທີ່ມີຄວາມສ່ຽງຢ່າງສົມບູນ, ເຮັດໃຫ້ມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະສ້າງເງື່ອນໄຂສໍາລັບການລ່ວງລະເມີດ.