ຜົນກະທົບຂອງຊ່ອງໂຫວ່ທີ່ບໍ່ມີຊື່ສຽງໃນຫ້ອງສະຫມຸດ Java Log4j ດຶງລົງ. ເຖິງແມ່ນວ່າບັນຫາທີ່ໃຫຍ່ທີ່ສຸດໄດ້ຖືກແກ້ໄຂດ້ວຍການເລັ່ງດ່ວນ 2.16, ສະບັບນີ້ຍັງເບິ່ງຄືວ່າມີຄວາມອ່ອນໄຫວຕໍ່ກັບການລ່ວງລະເມີດ. ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພພົບເຫັນທາງເຂົ້າສໍາລັບການໂຈມຕີປະຕິເສດການບໍລິການ (DoS). Log4j 2.17 ໄດ້ຖືກຈັດພີມມາເພື່ອປິດການເຂົ້າ.
Apache, ຜູ້ພັດທະນາຫ້ອງສະຫມຸດ Java, ແນະນໍາອົງການຈັດຕັ້ງໃຫ້ນໍາໃຊ້ການແກ້ໄຂສຸກເສີນ. ຄໍາແນະນໍານັ້ນນໍາໃຊ້ເປັນຄັ້ງທີສາມນັບຕັ້ງແຕ່ຫ້ອງສະຫມຸດໄດ້ຖືກພົບເຫັນວ່າມີຄວາມສ່ຽງ.
ອາທິດຫນຶ່ງແລະເຄິ່ງຫນຶ່ງກ່ອນຫນ້ານີ້, ນັກຄົ້ນຄວ້າຄວາມປອດໄພຈາກ Alibaba's cloud ທີມງານຄວາມປອດໄພເປີດເຜີຍວິທີການໃຊ້ໃນທາງທີ່ຜິດກັບ Log4j. Log4j ຖືກໃຊ້ໃນແອັບພລິເຄຊັນເພື່ອບັນທຶກເຫດການ. ມັນໄດ້ກາຍເປັນໄປໄດ້ໃນການເຂົ້າເຖິງຄໍາຮ້ອງສະຫມັກກັບຫ້ອງສະຫມຸດຈາກພາຍນອກໂດຍມີຄໍາແນະນໍາສໍາລັບການປະຕິບັດ malware. ການລ່ວງລະເມີດໃຊ້ເວລາພຽງໜ້ອຍດຽວ. ຕື່ມໃສ່ວ່າປະມານການປະກົດຕົວຂອງຫ້ອງສະຫມຸດໃນສະພາບແວດລ້ອມຂອງບໍລິສັດສ່ວນໃຫຍ່ແລະທ່ານເຂົ້າໃຈຂະຫນາດຂອງໄພພິບັດທີ່ກໍາລັງປະເຊີນກັບພູມສັນຖານ IT ທົ່ວໂລກ.
ຜູ້ພັດທະນາຊອບແວເຊັ່ນ Fortinet, Cisco, IBM ແລະຫຼາຍສິບຄົນອື່ນໆໃຊ້ຫ້ອງສະຫມຸດໃນຊອບແວຂອງພວກເຂົາ. ນັກພັດທະນາຂອງພວກເຂົາໄດ້ເຮັດວຽກລ່ວງເວລາໃນທ້າຍອາທິດໃນວັນທີ 11 ທັນວານີ້ເພື່ອປະມວນຜົນການສ້ອມແປງສຸກເສີນຄັ້ງທໍາອິດສໍາລັບຊ່ອງໂຫວ່ແລະສົ່ງໃຫ້ອົງການຈັດຕັ້ງຜູ້ໃຊ້. ແນ່ນອນວ່າການລອຍລົມດຽວກັນແມ່ນຄາດວ່າຈະມາຈາກທີມງານ IT ພາຍໃນອົງການຈັດຕັ້ງເຫຼົ່ານີ້. ການໂຈມຕີຫຼາຍຮ້ອຍພັນເທື່ອໄດ້ເກີດຂຶ້ນໃນທົ່ວໂລກ. ທຸກຄົນຕ້ອງປ່ຽນເປັນ 2.15 ໄວເທົ່າທີ່ຈະໄວໄດ້ - ຈົນຮອດ 2.15 ກໍ່ພົບວ່າມີຄວາມສ່ຽງ.
ການຕັ້ງຄ່າສະເພາະຂອງຫ້ອງສະຫມຸດຍັງເປັນໄປໄດ້ໃນສະບັບ 2.15. ການນໍາໃຊ້ການຕັ້ງຄ່າເຫຼົ່ານີ້ perpetuated ຄວາມອ່ອນແອ. ເວີຊັນ 2.16 ເຮັດໃຫ້ການຕັ້ງຄ່າເປັນໄປບໍ່ໄດ້, ຮັບປະກັນການອັບເດດໃໝ່. ສ່ວນຫຼາຍມັກເຮັດໃຫ້ທີມ IT ເຮັດວຽກຫຼາຍເກີນໄປ. ຢ່າງໃດກໍ່ຕາມ, ມັນອາດຈະຮ້າຍແຮງກວ່າເກົ່າ, ເພາະວ່າ 2.16 ຍັງມີພະຍາດ.
ກັບໄປທີ່ເລີ່ມຕົ້ນ
ຄວາມສົນໃຈຂອງທົ່ວໂລກຢ່າງໃຫຍ່ຫຼວງຕໍ່ບັນຫາດັ່ງກ່າວໄດ້ເຮັດໃຫ້ມີການສືບສວນຢ່າງໃຫຍ່ຫຼວງໃນທົ່ວໂລກ. Apache, ຜູ້ພັດທະນາຫ້ອງສະຫມຸດ, ເບິ່ງຄືວ່າບໍ່ສາມາດຫາຍໃຈຂອງລາວໄດ້ສອງມື້ໂດຍບໍ່ມີບໍລິສັດຄວາມປອດໄພຊີ້ບອກບັນຫາໃຫມ່, ຮີບດ່ວນ.
ໃນສັ້ນ, ມັນເປັນໄປໄດ້ທີ່ຈະດໍາເນີນການຫຼາຍສິບຮຸ່ນຂອງ log4j - ລວມທັງ 2.16 - ດ້ວຍເສັ້ນດຽວ (string) ເພື່ອເລີ່ມຕົ້ນການ loop ນິລັນດອນທີ່ເຮັດໃຫ້ແອັບພລິເຄຊັນຂັດຂ້ອງ. ເງື່ອນໄຂທີ່ສະພາບແວດລ້ອມຕ້ອງຕອບສະຫນອງເພື່ອຖືກລ່ວງລະເມີດແມ່ນກວ້າງຂວາງ. ກວ້າງຂວາງດັ່ງນັ້ນຄວາມຮ້າຍແຮງຂອງການປະຕິບັດແມ່ນໂຕ້ແຍ້ງກັນ. patch ແມ່ນແນະນໍາຢ່າງເປັນທາງການ, ແຕ່ທຸກຄົນບໍ່ຫມັ້ນໃຈ.
ອີກເທື່ອ ໜຶ່ງ, ບໍ່ແມ່ນທຸກໆຕົວຢ່າງຂອງ Log4j ແມ່ນມີຄວາມສ່ຽງ, ແຕ່ພຽງແຕ່ກໍລະນີທີ່ຫ້ອງສະຫມຸດເຮັດວຽກຢູ່ໃນການຕັ້ງຄ່າທີ່ກໍາຫນົດເອງ. ຜູ້ໂຈມຕີທີ່ມີທ່າແຮງຍັງຕ້ອງການຄວາມເຂົ້າໃຈລະອຽດກ່ຽວກັບວິທີການເຮັດວຽກຂອງ Log4j. ກົງກັນຂ້າມກັບຈຸດອ່ອນເບື້ອງຕົ້ນ, ເຂົ້າເຖິງໄດ້ງ່າຍ.